Профессионалы подчеркивают, что этот же сертификат употреблялся для подписи официального программного обеспечения D-Link, следовательно, он был похищен BlackTech. Те были подписаны действительным сертификатом D-Link Corporation, который также употреблялся в легитимном ПО D-Link.
Вредоносная кампания была зафиксирована после обнаружения нескольких подозрительных файлов.
С начала этого месяца были пойманы участники киберпреступной группы BlackTech.
Удостоверившись во вредоносности файлов, ESET проинформировала о проблеме в D-Link. Тот же сертификат употреблялся в легитимном ПО D-Link. В итоге 3 июля 2018-ого компания отозвала скомпрометированный цифровой сертификат. PLEAD эта группа уже использовала в прошлом, а с помощью бэкдора BlackTech совершала атаки пользователей из Восточной Азии и особенно Тайваня. Зловред похищает пароли из Google Chrome, Microsoft Outlook, интернет Explorer, а кроме этого Мозила Файрфокс.
Но оказалось, что BlackTech пошла дальше — кроме сертификата, выпущенного D-Link, киберпреступники использовали другой сертификат, выданный тайваньской технической компанией Changing Information Technology. Так как он был отозван еще 4 июля 2017 г., особой пользы злоумышленникам он не принес. Компрометация технологических компаний демонстрирует высокую квалификацию данной группы.
ESET отметила, что киберпреступники часто используют для операций цифровые сертификаты, так как они позволяют маскировать вредные программы и выдавать их за лицензионные. Сертификаты позволяют пагубным программам выглядеть как легитимные и обходить защиту, не вызывая опасений.
Комментарии
Отправить комментарий