Разработчики вредоносов обманывают Windows измененными сертификатами
24 сентября 2021 года
Разработчики вредоносных программ создают сигнатуры искаженного кода, которые считаются действительными в Windows и избегают обнаружения со стороны защитного программного обеспечения. По словам специалистов из компании Google, данная тактика активно используется финансово мотивированными преступниками для распространения семейства потенциально опасное ПО (riskware) OpenSUpdater. OpenSUpdater внедряет рекламу в браузеры жертв и устанавливает другие нежелательные программы на их устройства.
В ходе вредоносной кампании операторы OpenSUpdater пытаются заразить как можно больше устройств. Большинство целей данных атак находится в США.
Как сообщила команда исследователей из Google Threat Analysis Group (TAG), разработчики OpenSUpdater начали подписывать свои образцы легитимными, но намеренно измененными сертификатами. Сертификаты принимаются ОС Windows, но отклоняются OpenSSL.
При нарушении синтаксического анализа сертификатов для OpenSSL (который не сможет декодировать цифровые подписи и проверять их), вредоносные образцы не будут обнаружены некоторыми защитными решениями, использующими правила обнаружения на основе OpenSSL.
Защитные решения, использующие OpenSSL для анализа цифровых подписей, фактически игнорируют вредоносный характер образцов, поскольку они отклоняют информацию подписи как недействительную, что сбивает с толку и нарушает процесс сканирования вредоносных программ.
Google TAG в настоящее время работает с командой Google Safe Browsing над блокировкой данного семейства потенциально опасного программного обеспечения и прекращения его дальнейшего распространения на компьютеры пользователей.
Источники[править]
Эта статья содержит материалы из статьи «Разработчики вредоносов обманывают Windows измененными сертификатами», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.