Новости Злоупотребление сертификатами используется хакерами для распространения LummaC2 и RecordBreaker

NewsMaker

I'm just a script
Премиум
14,097
20
8 Ноя 2022
Отравление поисковой выдачи и пиратский софт – это ли не формула идеального взлома?


7wo9j1o4cggxe7ch851qzbjk1bpifr77.jpg


В последнее время киберпреступники применяют новый и весьма изощрённый метод злоупотребления сертификатами для распространения вредоносного ПО. Его основная цель — кража учётных данных и другой конфиденциальной информации. А в некоторых случаях целью хакеров также может стать кража криптовалюты.

Данная кампания использует отравление поисковой выдачи ( SEO poisoning ) для предоставления поисковых результатов, ведущих на вредоносные страницы и предлагающие взломанный софт.


c46v9me0f12a8mu7vhq5e2l1uf5zz3td.png


В то время как на переднем плане сайта рекламируются нелегальные «кряки», в фоновом режиме на компьютер жертвы доставляют трояны удалённого доступа, известные как LummaC2 и RecordBreaker (он же Raccoon Stealer V2), о чем исследователи из южнокорейской ASEC сообщили в Для просмотра ссылки Войди или Зарегистрируйся от 10 октября.

Помимо доставки через веб-сайты с нелегальным софтом, исследователи также заметили распространение RecordBreaker через YouTube и другие вредоносные программы.

Важно отметить, что вредоносное ПО использует нестандартные сертификаты, содержащие необычно длинные строки в полях «Subject Name» и «Issuer Name», что делает их невидимыми для систем Windows . Подписи включают в себя арабский, японский и прочие языки, отличные от английского, а также специальные символы.


822q7dia6fojic368sf1owjyiyp4wly4.png


Последний рассмотренный исследователями экземпляр вредоноса, используемый в реальных атаках, состоит из строки с вредоносным кодом, предназначенным для загрузки и выполнения команд PowerShell .

«Подобные образцы последовательно распространялись с небольшими структурными изменениями более двух месяцев, что наводит на мысль о конкретном намерении, стоящем за этими действиями», — написал исследователь ASEC.

Хотя такие сертификаты, вероятно, не прошли бы проверку подписи, они всё ещё могут запутать и даже обойти некоторые защитные меры. В целом, злоупотребление сертификатами уже стало в некотором роде обыденной тактикой, применяемая угрозами.

LummaC2 и Raccoon Stealer хорошо известны специалистам по безопасности. После заражения они могут передавать чувствительную информацию, такую как учётные данные, сохранённые в браузере, документы, файлы криптовалютных кошельков и т. д.

Исследователи из AhnLab Security настоятельно рекомендуют пользователям Windows быть осторожными при загрузке программного обеспечения из Интернета, особенно с сайтов, распространяющий нелегальное программное обеспечение. Даже если ранее вы уже пользовались этим сайтом, и он вызывает у вас доверие.
 
Источник новости
www.securitylab.ru

Похожие темы