Описание вредоносного ПО

Бразильские банковские троянцы – уже с цифровой подписью

Просто ли «плохим парням» купить действительные цифровые сертификаты у центров сертификации, предоставив фальшивые данные, и использовать эти сертификаты для подписи банковских троянцев?  Похоже, что в Бразилии это действительно не представляет труда.

Сегодня большинство разработчиков ПО подписывают программы цифровыми сертификатами. В процессе участвуют Центры сертификации, которые верифицируют подлинность файлов и выдают разработчикам сертификат.

Как известно, действительные или украденные цифровые сертификаты используются некоторыми вирусописателями для создания вредоносных файлов, которые могут в течение некоторого времени распознаваться как легитимные. И теперь бразильские киберпреступники начали использовать эту технологию в своих зловредах, пытаясь выиграть больше времени для их распространения. Недавно нами была обнаружена троянская банковская программа, подписанная действительным цифровым сертификатом Центра сертификации. Похоже, что для получения сертификата были использованы фальшивые данные.

Насколько просто для Центра сертификации проверить легитимность получаемых данных? Бразильские киберпреступники зарегистрировали домен gastecnology.org, скопировав название хорошо известной и авторитетной местной компании-разработчика ПО. Для регистрации домена использовались следующие данные:

Эти данные абсолютно фальшивые. Домен зарегистрирован с использованием бесплатного почтового сервиса (Yahoo), а по указанному адресу в красивейшем городе Витория (Vitória) располагается жилой дом:

Телефонный номер, использованный для регистрации домена, также является фальшивкой, и  зарегистрирован он не в Витории (где код города — 27), а в Пернамбуку (с кодом 81). Однако, даже использовав фальшивые данные при регистрации домена, киберпреступники успешно купили у Comodo цифровой сертификат, который был выпущен 28 мая и действовал до 29 мая 2015 года:

После этой несложной процедуры они начали подписывать свои троянцы:

После проведения кампании по массовой рассылке, в ходе которой бразильских пользователей интернет-банкинга просили установить «обновление», компьютеры некоторых пользователей были заражены.

Помимо цифровой подписи, в одном из троянцев использовался еще один трюк, часто применяемый вирусописателями: чтобы заставить пользователей поверить, что файл является легитимным, в описании файла упоминалась компания HP.

Цифровые сертификаты были аннулированы Comodo спустя 15 дней после выпуска после предупреждения от местной компании, занимающейся информационной безопасностью. Вредоносная программа детектируется «Лабораторией Касперского» как Trojan-Banker.Win32.Banbra.atfl.

Бразильские банковские троянцы – уже с цифровой подписью

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике