Google Araştırmacıları, Windows'ta güvenlik yazılımını kullanarak Windows'ta geçerli olan kötü biçimlendirilmiş kod imzalarını oluşturan kötü amaçlı yazılım geliştiricileri gördü.
Bu taktik, aktif olarak, bir istenmeyen yazılım ailesi olan OpenSupdater'ı, ayrıca, Reklamlar tarayıcılarına reklamlar enjekte eden ve diğer istenmeyen programları cihazlarına yükleyen bir istenmeyen yazılım ailesi itmek için aktif olarak kullanılır.
OpenSUpDater'ın arkasındaki finansal olarak motive olan tehdit aktörlerinin koordine edilmesi ile koordine edilen kampanyalar mümkün olduğunca çok fazla cihaz bulaşmaya çalışacaktır.
Çoğu hedefimiz ABD'den ve muhtemelen oyun çatlakları ve diğer potansiyel olarak bubi kaplıcalanan araçları indirmekle ilgileniyor.
Kabaca bir ay önce, Google tehdit analizi grubu (TAG) Güvenlik Araştırması Neel Mehta, OpenSUpDater olarak bilinen istenmeyen bir yazılımın geliştiricilerinin, Windows tarafından kabul edilen ancak OpenSSL tarafından reddedilen, yasal ancak kasıtlı olarak hatalı biçimlendirilmiş sertifikalarla örneklerini imzalamaya başladığını keşfetti.
OPENSSL için sertifika ayrıştırılmasını kırarak (dijital imzaları çözemeyecek ve bunları kontrol edemez), kötü amaçlı örnekler, OPENSSL destekli algılama kurallarını kullanan ve mağdurlara kötü amaçlı görevlerini yerine getirmelerine izin verilen bazı güvenlik çözümleri tarafından tespit edilmeyecektir. 'PC'ler.
Mehta, "Ağustos ayının ortasından beri, OpenSUpDater örnekleri geçersiz bir imza taşıdı ve bu da bu soruşturma, bu tespiti kaçırmanın kasıtlı bir girişim olduğunu gösterdi." Dedi.
"İmza bilgilerini çıkarmak için OpenSSL kullanan güvenlik ürünleri bu kodlamayı geçersiz olarak reddeder.
"Ancak, bu kodlamalara izin veren bir ayrıştırıcıya, ikili dijital imzası aksi halde meşru ve geçerli görünecektir."
Bu son bölüm, opensupdater'ın güvenlik savunmalarını atlamasını sağlayan, bir mağdurun bilgisayarına dağıtılan örnekleri etkinleştirmek sorunsuz bir şekilde başlayabilecektir.
Bu, Dijital imzaları ayrıştırmak için OPENSSL kullanan güvenlik çözümleri, örneklerin kötü amaçlı niteliğini görmezden gelecek çünkü imza bilgilerini kötü amaçlı yazılım tarama işlemini geçersiz olarak reddedecek, şaşırtıcı, kafa karıştırıcı ve kırma.
Mehta, "İlk önce bu aktiviteyi keşfettiğinden beri, OpenSUpDater'ın yazarları, algılamayı daha da araştırmak için geçersiz kodlamalarda başka varyasyonları denedi" dedi.
"Bu, PE dosyalarında geçerli bir dijital imzayı korurken bu tekniği kullanarak bu tekniği kullanan aktörleri gözlemledi."
Sorunu keşfettikten sonra, Google Tag araştırmacısı, bu algılama kaçakçılığını bildirmek için Microsoft'a da başvurdu.
Google Tag şu anda bu istenmeyen yazılım ailesini diğer kurbanların bilgisayarlarına daha fazla yayılmasını engellemek için Google Güvenli Tarama Ekibi ile birlikte çalışıyor.
Güvenlik araştırması, Google kullanıcılarının yalnızca yazılımı yalnızca güvenilir kaynaklardan indirmesini ve yüklemelerini istedi.
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Windows 11 yalnızca bir Intel 7. Gen CPU'yu desteklemek için, AMD ZEN 1 CPU'lar yok
PrinternMare yamasından sonra yönetici kredilerini soran yazıcıları nasıl düzeltilir
Microsoft: Windows MSHTML hatası artık fidyeware çeteleri tarafından sömürüldü
Microsoft, Windows ve Mac için Office LTSC 2021'i çıkarır.
Kaynak: Bleeping Computer