Вредоносное ПО с сертификатом D-Link

По сообщению ESET, ее специалисты обнаружили новую киберкампанию, в которой используются сертификаты для подписи кода, украденные у компании D-Link Corporation. Кампания была зафиксирована ESET после обнаружения нескольких подозрительных файлов, подписанных действительным сертификатом D-Link Corporation. Тот же сертификат использовался в легитимном ПО D-Link.

Убедившись во вредоносности файлов, ESET сообщила о проблеме в D-Link. Скомпрометированный цифровой сертификат был отозван компанией 3 июля.

В ходе исследования эксперты также нашли вредоносные образцы, подписанные сертификатом другой тайваньской технологической компании – Changing Information Technology, которая специализируется на продуктах для безопасности. Данный сертификат отозван 4 июля 2017 г.

С помощью украденных сертификатов распространялись два семейства вредоносных программ: бэкдор для удаленного управления зараженным компьютером Plead и связанный с ним инструмент для сбора паролей, сохраненных в Google Chrome, Internet Explorer, Microsoft Outlook и Mozilla Firefox. По мнению экспертов, за атакой стоит кибершпионская группа BlackTech, атакующая цели в Восточной Азии. Компрометация технологических компаний демонстрирует высокую квалификацию данной группы.

Использование украденных цифровых сертификатов, отмечают в ESET, – распространенный способ маскировки. Сертификаты позволяют вредоносным программам выглядеть как легитимные и обходить защиту, не вызывая подозрений. Этот метод был, в частности, реализован в 2010 г. в Stuxnet – первом кибероружии, ориентированном на критическую инфраструктуру.