ZV

00:00:00

Автор Тема: Обнаружен вредонос Blister — он имеет подпись и обходит защиту Windows  (Прочитано 371 раз)

0 Пользователей и 1 Гость просматривают эту тему.


  • Супер-Модератор
  • ****
  • ru

<---Информация--->

  • Сообщений: 20372
  • Регистрация: 19-12-2014
  • Возраст: 122
  • Расположение: Россия
  • Спасибо за пост:
  • -Сказал(а) спасибо: 22310
  • -Поблагодарили: 26144
  • Награды За 10 000 сообщений Супермодер Модератор форума Новостнику форума Ключнику форума За помощь форуму За помощь форуму За активную помощь форуму За активность в разделе Киноиндустрия За рекламу форума в других ресурсах Журналисту форума От души Дополнительная Золотая Дополнительная Серебряная medal-red-gold
    • Награды
https://3dnews.ru/assets/external/illustrations/2021/12/25/1056747/hacker.jpg

                       
Обнаружен вредонос Blister — он имеет подпись и обходит защиту Windows

Специализирующаяся на вопросах кибербезопасности компания Elastic Security обнаружила массовую атаку вредоносного ПО, в которой используется сертификат подписи и другие методы, позволяющие ему оставаться незамеченным для антивирусов.

Вредонос подписан действительным сертификатом от 15 сентября 2021 года, выданным удостоверяющим центром Sectigo на компанию Blist LLC — поэтому загрузчик получил название Blister. Отмечается, что в данных владельца сертификата указан адрес электронной почты на одном из доменов, принадлежащих Mail.ru.

Загрузчик проникает в систему под видом обычных библиотек вроде colorui.dll и выполняется через Rundll32. Оказавшись в системе, он на 10 минут прерывает работу и переходит в режим ожидания — эксперты уверены, что это помогает ему обойти анализ песочницы. Далее декодируется полезная нагрузка, которая загружается в один из процессов и делает всё остальное: открывает удалённый доступ к системе, распространяется по локальной сети, сохраняет свои копии в системной папке ProgramData и маскируется под rundll32.exe. В довершение вредонос добавляется в автозапуск и загружается при каждом старте ОС.

Исследователи уже известили Sectigo и попросили отозвать сертификат — это ускорит борьбу с Blister. Но пока загрузчик остаётся с незначительным или нулевым обнаружением на VirusTotal.

 


* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.