Microsoft предупредила о компрометации неназванного PDF-редактора - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Microsoft предупредила о компрометации неназванного PDF-редактора - «Новости»

Исследователи Microsoft предупредили о компрометации пакета шрифтов, входящего в состав неназванного PDF-редактора. С января по март 2018 года неизвестные злоумышленники использовали эту брешь для установки криптовалютных майнеров на компьютеры пользователей.


Эксперты Microsoft узнали о проблеме, когда начали получать оповещения от Windows Defender ATP (коммерческая версия Windows Defender). Проведенное расследование показало, что хакеры проникли в облачную инфраструктуру некой компании, предоставляющей пакеты шрифтов (в виде файлов MSI) другим софтверным фирмам.


«Атакующие воссоздали инфраструктуру [первой компании] на сервере, который принадлежал им. Они скопировали и разместили на своем сервере все файлы MSI, включая пакеты шрифтов, все чистые и с цифровыми подписями, — пишут исследователи Microsoft. — Затем атакующие декомпилировали один файл MSI, пакет азиатских шрифтов, и добавили в его код вредоносный пейлоад криптовалютного майнера».



Схема атаки

После перечисленных манипуляций атакующие каким-то образом сумели изменить параметры загрузки в неназванном PDF-редакторе, указав в качестве ссылки для загрузки языкового пакета собственный сервер и вредоносный MSI. Эксперты отмечают, что неизвестно, как именно осуществлялась эта компрометация, и не похоже, чтобы речь шла о Man-in-the-Middle атаке или манипуляциях с DNS.


В результате пользователи, загрузившие и установившие PDF-редактор, также загружали и вредоносный пакет шрифтов с сервера злоумышленников.



Windows Defender ATP предупреждает, что среди файлов MSI найдено что-то подозрительное

Так как приложение устанавливалось с привилегиями SYSTEM, скрытый майнер получал полный доступ к пользовательской системе. Майнер запускал процесс xbox-service.exe и начинал добывать криптовалюту, используя ресурсы системы пострадавшего.


Аналитики Microsoft пишут, что им с легкостью удалось обнаружить вредоносный файл MSI, так как все остальные файлы были подписаны софтверной компанией. Измененный злоумышленниками пакет шрифтов утратил свою аутентичность после внедрения майнера в код. Кроме того, малварь пыталась внести изменения в hosts, чтобы помешать обновлениям ряда приложений, а подобную активность тоже легко обнаруживают практически любые антивирусы.






Источник новостиgoogle.com

Исследователи Microsoft предупредили о компрометации пакета шрифтов, входящего в состав неназванного PDF-редактора. С января по март 2018 года неизвестные злоумышленники использовали эту брешь для установки криптовалютных майнеров на компьютеры пользователей. Эксперты Microsoft узнали о проблеме, когда начали получать оповещения от Windows Defender ATP (коммерческая версия Windows Defender). Проведенное расследование показало, что хакеры проникли в облачную инфраструктуру некой компании, предоставляющей пакеты шрифтов (в виде файлов MSI) другим софтверным фирмам. «Атакующие воссоздали инфраструктуру _

запостил(а)
Longman
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))