В ходе вредоносной кампании операторы OpenSUpdater пытаются заразить как можно больше устройств. Большинство целей данных атак находится в США.
Как сообщила команда исследователей из Google Threat Analysis Group (TAG), разработчики OpenSUpdater начали подписывать свои образцы легитимными, но намеренно измененными сертификатами. Сертификаты принимаются ОС Windows, но отклоняются OpenSSL.
При нарушении синтаксического анализа сертификатов для OpenSSL (который не сможет декодировать цифровые подписи и проверять их), вредоносные образцы не будут обнаружены некоторыми защитными решениями, использующими правила обнаружения на основе OpenSSL.
Защитные решения, использующие OpenSSL для анализа цифровых подписей, фактически игнорируют вредоносный характер образцов, поскольку они отклоняют информацию подписи как недействительную, что сбивает с толку и нарушает процесс сканирования вредоносных программ.
Google TAG в настоящее время работает с командой Google Safe Browsing над блокировкой данного семейства потенциально опасного программного обеспечения и прекращения его дальнейшего распространения на компьютеры пользователей.