- Dołączył
- 26 Maj 2015
- Posty
- 19243
- Reakcje/Polubienia
- 56070
źródło:Złodziej informacji AZORult i szkodliwy downloader został zaobserwowany przez zespół badawczy Minerva Labs, który podszywa się pod podpisany instalator Google Update zastępując legalny program Google Updater na zaatakowanych komputerach.
Po pomyślnym zainfekowaniu maszyny AZORult ma na celu eksfiltrację jak największej ilości informacji poufnych, począwszy od plików, haseł, plików cookie i historii przeglądarek, a skończywszy na danych bankowych i portfelach kryptowalut.
Skradziony certyfikat używany do podpisywania fałszywego pliku binarnego Google Update
Według Asafa Aprozpera i Gala Bitensky z Minerva Labs otrzymali oni plik binarny GoogleUpdate.exe podpisany za pomocą ważnego certyfikatu od klienta, który został zablokowany przez platformę Anti-Evasion firmy Minerva. Wszystko, co dotyczy programu GoogleUpdate.exe, wskazywało na to, że jest to poprawny aktualizator od Google, posiadający odpowiednią ikonę i podpisany za pomocą nieodwołanego certyfikatu. Jak zwykle diabeł tkwi w szczegółach i po bliższej inspekcji naukowcy byli w stanie zobaczyć, że plik binarny został faktycznie podpisany certyfikatem wydanym dla "Singh Agile Content Design Limited" zamiast Google.
Ten certyfikat został wydany 19 listopada i od tego czasu był użyty do podpisania ponad stu plików binarnych, z których wszystkie były zamaskowane jako plik wykonywalny GoogleUpdate.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Cały artykuł:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
