Eine neue Malware-Kampagne gestohlene digitale Zertifikate nutzen wird von Sicherheitsexperten bei Cyber Firma ESET entdeckt worden,. Die Forscher entdeckten die Malware-Kampagne, wenn einige ihrer Systeme mehr Dateien als verdächtig markiert.
Plädieren Malware, die gestohlenen Zertifikaten
Es stellte sich heraus, dass die gekennzeichneten Dateien digital über eine gültige D-Link Corporation Codesignaturzertifikat signiert wurden. Genau die gleiche Zertifikat verwendet worden nicht-bösartige D-Link Software zu unterzeichnen was bedeutet, dass das Zertifikat höchstwahrscheinlich gestohlen, sagten die Forscher in ihrer Bericht.
Nachdem die Datei bösartige Natur bestätigt, wir benachrichtigt D-Link, die ins Leben gerufen ihre eigene Untersuchung der Angelegenheit. Infolge, das kompromittiert digitale Zertifikat wurde von D-Link am Juli widerrufen 3, 2018.
Die Analyse zeigte, dass es zwei verschiedene Familien von Malware das Zertifikat mißbrauchen - Plead Malware, die eine ferngesteuerte Hintertür ist,, und ein zugehöriges Passwort stehlen Komponente. Nach Ansicht der Forscher von Trend Micro, Plead die Hintertür wird durch eine Cyber-Spionage Gruppe bekannt als BlackTech verwendet.
Zusammen mit den Malware-Samples mit dem gestohlenen D-Link-Zertifikat signiert Plädieren, Proben über ein Zertifikat, das von einer taiwanesischen Sicherheitsfirma unterzeichnet, Ändern Information Technology Inc, haben auch entdeckt,. Es scheint, dass der BlackTech Hacker noch wird mit dem Zertifikat, obwohl es im Juli widerrufen wurde 4, 2017, vor einem Jahr.
Die Fähigkeit, mehrere Taiwan-basierte Technologie-Unternehmen zu gefährden und ihre Code-Signing-Zertifikate in Zukunft Angriffe wiederzuverwenden zeigt, dass diese Gruppe hochqualifizierter und konzentrierte sich auf diesem Gebiet, Die Forscher stellten fest.
Es ist darauf hinzuweisen, dass “die signierten Plädieren Malware-Samples werden in hohem Grade mit Junk-Code verschleiert, aber der Zweck der Malware ist ähnlich in allen Proben: lädt es von einem entfernten Server oder öffnet sich von der lokalen Festplatte eine kleine verschlüsselten binären Blob“. Das binäre blob enthält verschlüsselten Shellcode, die dazu dient, die endgültige Plädieren Backdoor-Modul zum Download.
Wie für die das Passwort Stealer Komponente, ist es speziell auf Ernte gespeicherte Passwörter aus der folgenden Liste der beliebtesten Anwendungen:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Gestohlene Zertifikate in Malware Verteilung Noch ein Trend
Im vergangenen Jahr Forscher bei Venafi entdeckt, dass der illegale Handel von digitalen Code-Signing-Zertifikate wurde blühen. Die Zertifikate werden meist überprüfen Software-Produkte verwendet, erweist sich ihren Status als legitime. wenn gefährdet, Diese Zertifikate können, ohne entdeckt Malware auf Geräte und Netzwerke zu installieren, eingesetzt werden.
Der Beweis, dass es jetzt ein erheblicher krimineller Markt für Zertifikate wirft unser ganzes Authentifizierungssystem für das Internet in Zweifel und verweist auf eine dringende Notwendigkeit für den Einsatz von Technologie-Systemen, den Missbrauch von digitalen Zertifikaten zu begegnen, Forscher sagten,.