Обнаружен вредонос Blister — он имеет подпись и обходит защиту Windows

Опубликовал: FIELD LINE, 25-12-2021, 23:42, Жизнь / В России, 133, 0
Специализирующаяся на вопросах кибербезопасности компания Elastic Security обнаружила массовую атаку вредоносного ПО, в которой используется сертификат подписи и другие методы, позволяющие ему оставаться незамеченным для антивирусов.



Вредонос подписан действительным сертификатом от 15 сентября 2021 года, выданным удостоверяющим центром Sectigo на компанию Blist LLC — поэтому загрузчик получил название Blister. Отмечается, что в данных владельца сертификата указан адрес электронной почты на одном из доменов, принадлежащих Mail.ru.

Загрузчик проникает в систему под видом обычных библиотек вроде colorui.dll и выполняется через Rundll32. Оказавшись в системе, он на 10 минут прерывает работу и переходит в режим ожидания — эксперты уверены, что это помогает ему обойти анализ песочницы. Далее декодируется полезная нагрузка, которая загружается в один из процессов и делает всё остальное: открывает удалённый доступ к системе, распространяется по локальной сети, сохраняет свои копии в системной папке ProgramData и маскируется под rundll32.exe. В довершение вредонос добавляется в автозапуск и загружается при каждом старте ОС.

Исследователи уже известили Sectigo и попросили отозвать сертификат — это ускорит борьбу с Blister. Но пока загрузчик остаётся с незначительным или нулевым обнаружением на VirusTotal.

Источник
  • Не нравится
  • 0
  • Нравится

Похожие публикации
У данной публикации еще нет комментариев. Хотите начать обсуждение?

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Российская вакцина от COVID-19 вам кажется безопасной?
Игровые сервера
c400's CS:Source Servers (CSS):
Развлекательный портал, since 2006
c400.ru - развлекательно юмористический портал
Год основания 2006, а может и раньше...