Microsoft предупредила о компрометации неназванного PDF-редактора - «Новости»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Новости мира Интернет » Новости » Microsoft предупредила о компрометации неназванного PDF-редактора - «Новости»

Исследователи Microsoft предупредили о компрометации пакета шрифтов, входящего в состав неназванного PDF-редактора. С января по март 2018 года неизвестные злоумышленники использовали эту брешь для установки криптовалютных майнеров на компьютеры пользователей.


Эксперты Microsoft узнали о проблеме, когда начали получать оповещения от Windows Defender ATP (коммерческая версия Windows Defender). Проведенное расследование показало, что хакеры проникли в облачную инфраструктуру некой компании, предоставляющей пакеты шрифтов (в виде файлов MSI) другим софтверным фирмам.


«Атакующие воссоздали инфраструктуру [первой компании] на сервере, который принадлежал им. Они скопировали и разместили на своем сервере все файлы MSI, включая пакеты шрифтов, все чистые и с цифровыми подписями, — пишут исследователи Microsoft. — Затем атакующие декомпилировали один файл MSI, пакет азиатских шрифтов, и добавили в его код вредоносный пейлоад криптовалютного майнера».



Схема атаки

После перечисленных манипуляций атакующие каким-то образом сумели изменить параметры загрузки в неназванном PDF-редакторе, указав в качестве ссылки для загрузки языкового пакета собственный сервер и вредоносный MSI. Эксперты отмечают, что неизвестно, как именно осуществлялась эта компрометация, и не похоже, чтобы речь шла о Man-in-the-Middle атаке или манипуляциях с DNS.


В результате пользователи, загрузившие и установившие PDF-редактор, также загружали и вредоносный пакет шрифтов с сервера злоумышленников.



Windows Defender ATP предупреждает, что среди файлов MSI найдено что-то подозрительное

Так как приложение устанавливалось с привилегиями SYSTEM, скрытый майнер получал полный доступ к пользовательской системе. Майнер запускал процесс xbox-service.exe и начинал добывать криптовалюту, используя ресурсы системы пострадавшего.


Аналитики Microsoft пишут, что им с легкостью удалось обнаружить вредоносный файл MSI, так как все остальные файлы были подписаны софтверной компанией. Измененный злоумышленниками пакет шрифтов утратил свою аутентичность после внедрения майнера в код. Кроме того, малварь пыталась внести изменения в hosts, чтобы помешать обновлениям ряда приложений, а подобную активность тоже легко обнаруживают практически любые антивирусы.






Источник новостиgoogle.com

Исследователи Microsoft предупредили о компрометации пакета шрифтов, входящего в состав неназванного PDF-редактора. С января по март 2018 года неизвестные злоумышленники использовали эту брешь для установки криптовалютных майнеров на компьютеры пользователей. Эксперты Microsoft узнали о проблеме, когда начали получать оповещения от Windows Defender ATP (коммерческая версия Windows Defender). Проведенное расследование показало, что хакеры проникли в облачную инфраструктуру некой компании, предоставляющей пакеты шрифтов (в виде файлов MSI) другим софтверным фирмам. «Атакующие воссоздали инфраструктуру _

запостил(а)
Longman
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))