Ukradeni sertifikat D-Linka korišćen za potpisivanje špijunskog malvera

Vesti, 11.07.2018, 01:00 AM

Ukradeni sertifikat D-Linka korišćen za potpisivanje špijunskog malvera

Istraživači kompanije ESET otkrili su novu kampanju u kojoj se zloupotrebljavaju validni digitalni sertifikati ukradeni od tajvanskih tehnoloških kompanija, uključujući D-Link, kojima se potpisuju malveri kako bi izgledali kao legitimne aplikacije.

Digitalni certifikati izdati od strane pouzdanog sertifikacionog tela (CA) koriste se za kriptografsko potpisivanje računarskih aplikacija i softvera i zahvaljujući njima vaš računar veruje takvim programima i pokreće ih bez ikakvih poruka upozorenja.

Međutim, autori malvera koji uvek traže napredne tehnike za zaobilaženje bezbednosnih rešenja, poslednjih godina učestalo zloupotrebljavaju pouzdane digitalne certifikate.

Autori malvera koriste kompromitovane sertifikate koji su povezani sa pouzdanim proizvođačima softvera kako bi potpisali svoj zlonamerni kod, i tako smanjuju mogućnost da njihovi malveri na ciljanim kompanijskim mrežama i uređajima korisnika budu otkriveni.

Istraživači iz kompanije ESET nedavno su identifikovali dve porodice malvera, ranije povezanih sa grupom BlackTech poznatoj po sajber špijunaži. Oba malvera su potpisana korišćenjem važećih digitalnih certifikata koji pripadaju proizvođaču mrežnih uređaja D-Link i još jednoj tajvanskoj sigurnosnoj kompaniji koja se zove Changing Information Technology. Prvi malver, nazvan Plead, je daljinski kontrolisani backdoor koji je dizajniran da krade poverljive dokumente i špijunira korisnike. Drugi malver je kradljivac lozinki dizajniran da prikuplja sačuvane lozinke iz Google Chromea, Microsoft Internet Explorera, Microsoft Outlooka i Mozilla Firefoxa. Istraživači su obavestili i D-Link i Changing Information Technology o ovome, posle čega su kompanije povukle kompromitovane digitalne certifikate 3. i 4. jula ove godine.

Pošto većina antivirusnih programa ne proverava valjanost certifikata čak i kada kompanije povuku svoje sertifikate, BlackTech hakeri još uvek koriste iste sertifikate za potpis svojih malicioznih alata.

"Sposobnost da kompromituju nekoliko tajvanskih tehnoloških kompanija i da iznova koriste njihove sertifikate za potpisivanje kodova u budućim napadima pokazuje da je ova grupa visoko kvalifikovana i fokusirana na taj region", ističu istraživači.

Nije prvi put da hakeri koriste validne sertifikate da bi potpisali svoj malver. Zloglasni crv Stuxnet koji je napao iranska nuklearna postrojenja takođe je koristio važeće digitalne sertifikate.

Takođe, prošlogodišnji napad na CCleaner, u kome su hakeri zamenili originalni softver CCleaner svojim softverom, bio je moguć zahvaljujući digitalno potpisanom ažuriranju softvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Još jedna zemlja EU protiv upotrebe Google analitike zbog kršenja evropskih propisa o zaštiti podataka

Još jedna zemlja EU protiv upotrebe Google analitike zbog kršenja evropskih propisa o zaštiti podataka

Još jedan udarac za Google stiže iz Evrope. Posle Austrije i Francuske, italijanska agencija za zaštitu podataka utvrdila je da upotreba Google ana... Dalje

Microsoft upozorio korisnike da se približava datum ukidanja podrške za Windows 8.1

Microsoft upozorio korisnike da se približava datum ukidanja podrške za Windows 8.1

Microsoft će povući Windows 8.1 10. januara sledeće godine, tako da će se kompanija u potpunosti fokusirati na Windows 10 i Windows 11. Kompan... Dalje

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

Izraelski proizvođač softvera za nadzor NSO Grupa priznao je ove nedelje evropskim zakonodavcima da je njihov softver Pegaz koristilo najmanje pet z... Dalje

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Programer „z0ccc“ napravio je veb sajt (https://z0ccc.github.io/extension-fingerprints/) dizajniran da generiše „otisak prsta&ldquo... Dalje

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Kritična ranjivost u WordPress dodatku koji se koristi na više od milion veb sajtova je zakrpljena, nakon što su se pojavili dokazi da je hakeri is... Dalje