Хакеры маскировали вредоносы сертификатами

Киберпреступники использовали сертификаты для подписи кода, чтобы замаскировать вредоносное программное обеспечение.

Новую киберкомпанию удалось обнаружить разработчику антивирусного ПО ESET. Специалистам удалось обнаружить несколько подозрительных файлов, подписанных действительным сертификатом D-Link Corporation. Отмечается, что он же использовался в легитимном ПО компании.

Кроме того, ESET нашла и другие вредоносные образцы, но подписаны они были сертификатом другой тайваньской технологической компании — Changing Information Technology Inc. Оба сертификата отозвали в начале месяца.

Таким образом хакеры распространяли два вредоноса: первый позволял удалённо управлять заражённым компьютером, а второй собирал пароли из Google Chrome, Internet Explorer, Microsoft Outlook и Mozilla Firefox. По мнению экспертов, за атакой стоит кибершпионская группа BlackTech, атакующая цели в Восточной Азии.

ESET отметила, что киберпреступники часто используют для операций цифровые сертификаты, так как они позволяют маскировать вредоносные программы и выдавать их за лицензионные. Метод реализован, в частности, в 2010 году в Stuxnet — первом кибероружии, ориентированном на критическую инфраструктуру.

Ранее News.ru рассказал об опросе ESET, в ходе которого выяснилось, что 75% организаций в России игнорируют меры защиты корпоративной информации.