Компания Microsoft сообщает, что ликвидировала сервис по подписанию вредоносных программ (MSaaS) под названием Fox Tempest, который помогал киберпреступникам маскировать вредоносное ПО под легитимное.
Этот сервис позволял пользователям отправлять вредоносные файлы для цифровой подписи с помощью краткосрочных сертификатов, выданных Microsoft, благодаря чему вредоносное ПО выглядело легитимным и с большей вероятностью обходило системы безопасности.
Сервис Fox Tempest был построен на основе ориентированного на клиента рабочего процесса подписи, в рамках которого киберпреступники могли загружать вредоносные бинарные файлы на портал, подписывать их сертификатами, действительными лишь в течение 72 часов, а затем получать файлы, которые выглядели как поступившие из надежного источника программного обеспечения.
Компания Microsoft прямо указывает, что такой подход позволил вредоносному ПО обойти меры безопасности и защиту, которые в ином случае выявили бы подозрительный неподписанный код. Многие средства безопасности считают подписанные бинарные файлы более надежными, чем неподписанные, особенно в средах, где используются белые списки и учитывается репутация издателя. Fox Tempest злоупотребил этим допущением, используя сертификаты, полученные мошенническим путем, чтобы замаскировать вредоносное ПО под легитимное программное обеспечение, что повысило вероятность его запуска и успешной доставки.
Сертификат, выглядящий достоверным, может помочь вредоносному ПО пройти первоначальную проверку, особенно в сочетании с методами социальной инженерии, платной рекламой, SEO-поисковым отравлением или поддельными страницами загрузки. В рамках этой кампании уровень подписи помог вредоносным установщикам маскироваться под такие продукты, как AnyDesk, Teams, PuTTY и Webex, и именно такого рода злоупотребления могут проскользнуть через системы контроля, построенные на основе репутации и доверия.
Поддельные сертификаты использовались для распространения программ-вымогателей и программ, похищающих конфиденциальные данные. Эти вредоносные кампании имели широкий масштаб: атаки затронули сферы здравоохранения, образования, государственного управления и финансовых услуг во многих странах.
Как оставаться в безопасности
Раскрытая Microsoft информация демонстрирует, как киберпреступность вышла за рамки деятельности «разработчиков вредоносного ПО» и превратилась в сферу услуг, в которой одни группы специализируются на создании доверия, а другие — на его монетизации.
Для специалистов по информационной безопасности главный урок заключается в том, что нельзя рассматривать подпись кода как отдельное средство обеспечения безопасности.
Для потребителей:
- Помните, что скачивать программное обеспечение следует только с официального сайта поставщика, из Microsoft Store или из другого источника, которому вы доверяете. Не нажимайте на кнопки загрузки в ссылках, присланных в сообщениях в социальных сетях, личных сообщениях или по электронной почте.
- Скептически относитесь к «спонсируемым» результатам поиска и рекламе популярных приложений.
- Используйте современное антивирусное решение, работающее в режиме реального времени, которое выявляет вредоносное поведение, а не просто сравнивает с сигнатурами.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
