Технологии

Украденным у D-Link сертификатом подписывали шпионскую малварь

Киберпреступники Black Tech подписывали вредоносы сертификатом D-Link

Профессионалы подчеркивают, что этот же сертификат употреблялся для подписи официального программного обеспечения D-Link, следовательно, он был похищен BlackTech.

С самого начала этого месяца были пойманы участники киберпреступной группы BlackTech. Те были подписаны действительным сертификатом D-Link Corporation, который также употреблялся в легитимном ПО D-Link. Специалисты проинформировали, что этот же сертификат применялся для подписи официального ПО от D-Link. Сертификаты позволяют вредным программам выглядеть как легитимные и обходить защиту, не вызывая опасений. Одним из зловредов с подложным сертификатом оказался бэкдор PLEAD, а другим — неопознанный вирус, похищающий пароли.

PLEAD уже употреблялся данной группой в прошлом, при помощи этого бэкдора BlackTech атаковала цели в Восточной Азии, особенно на Тайване.

2-ое рискованное приложение, ворующее пароли, ничем нетрадиционным не выделяется.

Так хакеры распространяли два вредоноса: 1-ый разрешал удалённо управлять заражённым компьютером, а 2-ой собирал пароли из Google Chrome, интернет Explorer, Microsoft Outlook и Мозила Файрфокс. Тот же сертификат употреблялся в легитимном ПО D-Link. В частности, компания провела его отзыв 3 июля. Также обнаружилось, что сертификат Changing Information Technology Inc был отозван еще 4 июля прошлого 2017 года, но группа BlackTech все равно использовала его для подписи собственных разрушительных инструментов.

D-Link, естественно, приняла меры относительно своего сертификата — компания отозвала его в предыдущий вторник, 3 июля.