Как отметил репортер Softpedia, к неизбежному упразднению сертификатов SHA-1 готовятся не только владельцы сайтов и софтверные компании, но также злоумышленники. Исследователи из Symantec обнаружили банковского троянца с двумя подписями — сгенерированной по SHA-1 и резервной SHA-256.

Этот банкер был опознан как вариант Carberp, он засветился в малотиражных спам-рассылках на территории США, Дании, Швеции, Израиля и Эфиопии. По словам экспертов, это один из первых случаев в их практике, когда для подписания вредоносного кода используются сразу два цифровых сертификата.

Целевые спам-письма, зафиксированные Symantec, ориентированы на работников бухгалтерии и содержат вложение — документ Word с вредоносным макросом. При активации последнего на компьютер жертвы загружается целевой зловред (с IP-адреса Маврикия).

Как показал анализ, этот исполняемый файл подписан двумя недавно выданными и украденными сертификатами, помогающими зловреду избежать обнаружения и сохранить статус подписанного приложения в том случае, если один из сертификатов будет отозван. Кроме того, такой дубль позволяет атаковать любые Windows, в том числе ОС ниже XP SP3, не поддерживающие криптографический стандарт SHA-2 и содержащие множество непропатченных уязвимостей.

SHA-1 окончательно дискредитировал себя минувшей осенью, когда университетские исследователи доказали, что атаки на этот алгоритм не за горами. Согласно новым требованиям к центрам сертификации и браузерам, поддержка SHA-1 должна была прекратиться с 1 января текущего года. Эту инициативу поддержали многие УЦ и вендоры, в том числе Microsoft, хотя новые сертификаты SHA-1 издаются и поныне: тотальный переход на SHA-2 способен лишить многих пользователей доступа к интернет-ресурсам. Как видно, злоумышленникам это лишь на руку, хотя пример Carberp также показал, что они способны осваивать новые стандарты быстрее некоторых операторов сайтов.

Категории: Аналитика, Вредоносные программы