Мошенники встроили криптомайнер в шрифтовой файл, чтобы скомпрометировать программы, которые будут его использовать. Вредонос не получил массового распространения — от атаки пострадал только один разработчик ПО для редактирования PDF.

По информации Microsoft, угроза возникла в январе этого года и оставалась актуальной вплоть до марта. Аналитики установили, что злоумышленники взломали облачные серверы некой компании, откуда ее клиенты скачивали шрифты в виде файлов MSI.

«Преступники восстановили инфраструктуру [этой компании] на собственном сервере, — рассказали ИБ-эксперты. — [Затем] они скопировали на него все MSI, включая шрифтовые файлы — чистые, заверенные цифровой подписью. Один из них, азиатский пакет символов, они декомпилировали и отредактировали, чтобы добавить полезную нагрузку в виде криптомайнера».

Далее взломщики отредактировали настройки PDF-редакторов, которые получали из этого облака обновления, — программа стала обращаться по скомпрометированному адресу. На данный момент специалистам не удалось определить использованный для этого метод. Известно лишь, что из списка возможных вариантов исключили MITM-атаку и перехват DNS-запросов.

В итоге пользователи PDF-редакторов получали вместе с новыми шрифтами криптомайнер. Эксперты отмечают, что при установке программа требует права администратора, поэтому вредонос получал полный доступ к операционной системе.

Обнаружить нежелательную активность удалось благодаря средствам эвристической аналитики, которые отлавливают опасное ПО по особенностям его поведения. Специалисты проследили путь криптомайнера до облачного пакета с обновлениями, где и содержался зловредный файл.

Найти виновника инцидента среди легитимных шрифтов оказалось несложно — после редактирования у него исчезла цифровая подпись разработчика. Кроме того, оказавшись на компьютере жертвы, вредонос пытался модифицировать системные файлы, чтобы тем самым затруднить свое обнаружение. Подобная активность сама по себе служит тревожным сигналом для защитных систем, поэтому в результате он только привлек к себе внимание.

Эксперты не раскрывают названия двух компаний, которые пострадали от атаки. Отмечается только, что инцидент коснулся небольшого количества пользователей.

За последний месяц произошло сразу несколько атак через подмену дистрибутива. Ранее злоумышленники подменили ссылку на скачивание видеоредактора VSDC и взломали сайт разработчика RDP-программы Ammyy Admin.

В конце 2017 года ИБ-специалисты предупреждали о все большем количестве зловредных сигнатур, которые позволяют преступникам выдавать свои программы за легитимные. По мнению экспертов, это говорит о несовершенстве существующих систем аутентификации.

Категории: Вредоносные программы, Другие темы