Инциденты

Неизвестная уязвимость в Adobe Reader: теперь с украденным сертификатом

Вчера компания Adobe выпустила информационный бюллетень о ранее неизвестной уязвимости в программах Adobe Reader и Acrobat. В настоящее время эта уязвимость активно используется киберпреступниками.

Эксплойт достаточно простой. Интересно в нем то, что он использует технику ROP (Return Oriented Programming — возвратно-ориентированное программирование) для обхода систем безопасности ASLR и DEP, встроенных в операционные системы Windows Vista и Windows 7.

Более широкое применение ROP для эксплойтов — это то, чего я жду уже достаточно давно. Почему? Потому что Windows 7 получает все большее распространение как среди отдельных пользователей, так и среди организаций.

Как правило, большинство вредоносных PDF-файлов загружают вредоносный код через интернет, однако в этом случае PDF-файл уже содержит вредоносный контент. PDF распаковывает исполняемый файл в директорию %temp% и пытается его исполнить.

Этот файл имеет действующую цифровую подпись, принадлежащую одному из американских кредитных союзов!

Посмотрите внимательно на скриншоты, и вы увидите, что сертификат не просто действующий, он на самом деле принадлежит кредитному союзу Vantage. Это значит, что злоумышленники каким-то образом смогли заполучить сертификат этой организации. Вам это ничего не напоминает? Если вы вспомнили о троянце Stuxnet (который подписывал файлы ворованными сертификатами Realtek и JMicron), то мы с вами думаем об одном и том же.

Интересно будет посмотреть, зародил ли Stuxnet новую тенденцию или эти случаи — просто удачное совпадение. Все же вряд ли тут совпадение. Я думаю, подписывание вредоносных программ ворованными действующими сертификатами получит распространение в 2011 году.

И Verisign, и Кредитный союз Vantage проинформированы о сложившейся ситуации и должны будут принять адекватные меры.

Неизвестная уязвимость в Adobe Reader: теперь с украденным сертификатом

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике