盗まれたデジタル証明書を利用した新しいマルウェアキャンペーンが、サイバーセキュリティ会社ESETのセキュリティ研究者によって発見されました. 研究者たちは、システムの一部がいくつかのファイルを疑わしいとマークしたときにマルウェアキャンペーンを発見しました.
盗まれた証明書を使用してマルウェアを訴える
フラグが立てられたファイルは、有効なD-LinkCorporationコード署名証明書を介してデジタル署名されていることが判明しました。. まったく同じ証明書が、悪意のないD-Linkソフトウェアに署名するために使用されていました。これは、証明書が盗まれた可能性が最も高いことを意味します。, 研究者は彼らの中で言った 報告.
ファイルの悪意のある性質を確認した, D-Linkに通知しました, 問題の独自の調査を開始した人. 結果として, 侵害されたデジタル証明書は7月にD-Linkによって取り消されました 3, 2018.
分析の結果、証明書を悪用している2つの異なるマルウェアファミリーが存在することがわかりました。リモート制御されたバックドアであるPleadマルウェアです。, および関連するパスワード盗用コンポーネント. トレンドマイクロの研究者によると, Pleadバックドアは、BlackTechとして知られるサイバースパイグループによって使用されています.
盗まれたD-Link証明書で署名されたPleadマルウェアサンプルと一緒に, 台湾の警備会社が証明書を介して署名したサンプル, 情報技術の変化, も発見されました. 7月に取り消されたにもかかわらず、BlackTechハッカーはまだ証明書を使用しているようです。 4, 2017, 一年前.
台湾を拠点とするいくつかのテクノロジー企業を危険にさらし、将来の攻撃でコード署名証明書を再利用できることは、このグループが高度なスキルを持ち、その地域に集中していることを示しています。, 研究者は指摘した.
注意すべきこと “署名されたPleadマルウェアサンプルは、ジャンクコードで非常に難読化されています, しかし、マルウェアの目的はすべてのサンプルで類似しています: リモートサーバーからダウンロードするか、ローカルディスクから小さな暗号化されたバイナリブロブを開きます“. バイナリブロブには暗号化されたシェルコードが含まれています, これは、最終的なPleadバックドアモジュールをダウンロードするのに役立ちます.
パスワードスティーラーコンポーネントについて, これは、特に人気のあるアプリケーションの次のリストから保存されたパスワードを収集するために使用されます:
- グーグルクローム
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
マルウェア配布で盗まれた証明書は依然としてトレンド
昨年、Venafiの研究者は、デジタルコード署名証明書の違法取引が開花していることを発見しました. 証明書は主にソフトウェア製品を検証するために使用されます, 正当なものとしてのステータスを証明する. 危険にさらされた場合, これらの証明書は、検出されることなくデバイスやネットワークにマルウェアをインストールするために展開できます.
現在、証明書の重要な犯罪市場が存在するという証拠は、インターネットの認証システム全体に疑問を投げかけ、デジタル証明書の誤用に対抗するためのテクノロジーシステムの展開が緊急に必要であることを示しています。, 研究者は言った.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: