24/09/21
Разработчики вредоносных программ создают сигнатуры искаженного кода, которые считаются действительными в Windows и избегают обнаружения со стороны защитного программного обеспечения. По словам специалистов из компании Google, данная тактика активно используется финансово мотивированными преступниками для распространения семейства потенциально опасное ПО (riskware) OpenSUpdater. OpenSUpdater внедряет рекламу в браузеры жертв и устанавливает другие нежелательные программы на их устройства.
В ходе вредоносной кампании операторы OpenSUpdater пытаются заразить как можно больше устройств. Большинство целей данных атак находится в США.
Как сообщила команда исследователей из Google Threat Analysis Group (TAG), разработчики OpenSUpdater начали подписывать свои образцы легитимными, но намеренно измененными сертификатами. Сертификаты принимаются ОС Windows, но отклоняются OpenSSL.
При нарушении синтаксического анализа сертификатов для OpenSSL (который не сможет декодировать цифровые подписи и проверять их), вредоносные образцы не будут обнаружены некоторыми защитными решениями, использующими правила обнаружения на основе OpenSSL.
Защитные решения, использующие OpenSSL для анализа цифровых подписей, фактически игнорируют вредоносный характер образцов, поскольку они отклоняют информацию подписи как недействительную, что сбивает с толку и нарушает процесс сканирования вредоносных программ.
Google TAG в настоящее время работает с командой Google Safe Browsing над блокировкой данного семейства потенциально опасного программного обеспечения и прекращения его дальнейшего распространения на компьютеры пользователей.
