Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Специализирующаяся на вопросах кибербезопасности компания Elastic Security обнаружила массовую атаку вредоносного ПО, в которой используется сертификат подписи и другие методы, позволяющие ему оставаться незамеченным для антивирусов.
Вредонос подписан действительным сертификатом от 15 сентября 2021 года, выданным удостоверяющим центром Sectigo на компанию Blist LLC — поэтому загрузчик получил название Blister. Отмечается, что в данных владельца сертификата указан адрес электронной почты на одном из доменов, принадлежащих Mail.ru.
Загрузчик проникает в систему под видом обычных библиотек вроде colorui.dll и выполняется через Rundll32. Оказавшись в системе, он на 10 минут прерывает работу и переходит в режим ожидания — эксперты уверены, что это помогает ему обойти анализ песочницы. Далее декодируется полезная нагрузка, которая загружается в один из процессов и делает всё остальное: открывает удалённый доступ к системе, распространяется по локальной сети, сохраняет свои копии в системной папке ProgramData и маскируется под rundll32.exe. В довершение вредонос добавляется в автозапуск и загружается при каждом старте ОС.
Исследователи уже известили Sectigo и попросили отозвать сертификат — это ускорит борьбу с Blister. Но пока загрузчик остаётся с незначительным или нулевым обнаружением на VirusTotal.
Источник: 3dnews.ru