В последнее время киберпреступники применяют новый и весьма изощрённый метод злоупотребления сертификатами для распространения вредоносного ПО. Его основная цель – кража учётных данных и другой конфиденциальной информации. А в некоторых случаях целью хакеров также может стать кража криптовалюты.
Данная кампания использует отравление поисковой выдачи (SEO poisoning) для предоставления поисковых результатов, ведущих на вредоносные страницы и предлагающие взломанный софт.
В то время как на переднем плане сайта рекламируются нелегальные “кряки”, в фоновом режиме на компьютер жертвы доставляют трояны удалённого доступа, известные как LummaC2 и RecordBreaker (он же Raccoon Stealer V2), о чем исследователи из южнокорейской ASEC сообщили в своём отчёте от 10 октября.
Помимо доставки через веб-сайты с нелегальным софтом, исследователи также заметили распространение RecordBreaker через YouTube и другие вредоносные программы.
Важно отметить, что вредоносное ПО использует нестандартные сертификаты, содержащие необычно длинные строки в полях “Subject Name” и “Issuer Name”, что делает их невидимыми для систем Windows. Подписи включают в себя арабский, японский и прочие языки, отличные от английского, а также специальные символы.
Последний рассмотренный исследователями экземпляр вредоноса, используемый в реальных атаках, состоит из строки с вредоносным кодом, предназначенным для загрузки и выполнения команд PowerShell.
“Подобные образцы последовательно распространялись с небольшими структурными изменениями более двух месяцев, что наводит на мысль о конкретном намерении, стоящем за этими действиями”, – написал исследователь ASEC.
Хотя такие сертификаты, вероятно, не прошли бы проверку подписи, они всё ещё могут запутать и даже обойти некоторые защитные меры. В целом, злоупотребление сертификатами уже стало в некотором роде обыденной тактикой, применяемая угрозами.
LummaC2 и Raccoon Stealer хорошо известны специалистам по безопасности. После заражения они могут передавать чувствительную информацию, такую как учётные данные, сохранённые в браузере, документы, файлы криптовалютных кошельков и т. д.
Исследователи из AhnLab Security настоятельно рекомендуют пользователям Windows быть осторожными при загрузке программного обеспечения из Интернета, особенно с сайтов, распространяющий нелегальное программное обеспечение. Даже если ранее вы уже пользовались этим сайтом, и он вызывает у вас доверие.