Фальшивые антивирусы используют украденные сертификаты

2013-11-19 7300 комментарии
Специалисты Bitdefender наткнулись на ряд образцов фальшивых антивирусов Antivirus Security Pro, которые распространяются установщиком с цифровой подписью, чтобы обойти некоторые механизмы безопасности операционной системы и антивирусов

Разработчики вредоносного ПО, которые впервые в 2008 году стали распространять фальшивые/поддельные антивирусы, переходят на новый уровень, чтобы обмануть доверие пользователей. Специалисты Bitdefender недавно наткнулись на ряд образцов фальшивого антивируса под названием Antivirus Security Pro, которые имели установочные файлы с цифровой подписью, что позволяло обойти некоторые механизмы безопасности операционной системы Windows и антивирусных решений.

Если говорить более конкретно, установочный файл распространяется через Интернет и подписан цифровым сертификатом, выданный для компании Ease Entertainment Services, LLC 22 ноября прошлого года. Цифровой сертификат сейчас действует (он до сих пор не был отменен). Скорее всего он был украден.

Фальшивые антивирусы используют украденные сертификаты для обхода обнаружения

Хотя этот цифровой сертификат будет действовать еще в течение примерно одного года (в нормальных условиях он должен закончится 22 ноября 2014 года), кибер-преступники не проставляют отметку времени, чтобы продлить его действие. Скорее всего они так делают, потому что знают - секретный ключ будет отменен в ближайшее время. Украденные цифровые сертификаты - сами по себе стали бизнесом, но в связи со спецификой их использования, они обычно очень быстро отзываются.

Это не единственное семейство фальшивых антивирусов (Fake AV), которые злоупотребляют украденными сертификатами в последнее время: за несколько месяцев до этого поддельный антивирус WinWebSec использовал сертификат, выданный для Ingenieursbureau Matrix B.V. Как только злоупотребление было обнаружено, сертификат быстро был отменен, но сотни подписанных вредоносных файлов уже попали в сеть.

Почему важны цифровые подписи?

Цифровой подписью приложений обеспечивают (или должны обеспечивать) целостность и достоверность соответствующего кода. Файлы с цифровой подписью доступны от известных разработчиков, которые заранее тщательно проверены органами по сертификации и считаются надежными. Вот почему некоторые антивирусные решения могут пропускать файлы с цифровой подписью, повышая быстродействие сканирования.

Кроме того, современные операционные системы по-разному трактуют действия файлов с цифровой подписью и без, когда они пытаются выполнить изменения в системе. Подсказки для неподписанных приложений, которые пытаются повысить свои привилегии, привлекают гораздо больше внимания пользователей, чем другие предупреждения.

Фальшивые антивирусы используют украденные сертификаты для обхода обнаружения
Приложение с цифровой подписью (слева) и обычный исполняемый файл (справа) пытаются получить права администратора. Подсказки Контроля учетных записей пользователей (UAC) выглядят по-разному

Специалисты Bitdefender уведомили пострадавшую сторону о нарушении и предоставили им дополнительную информацию для отзыва скомпрометированного сертификата. В то же время, убедитесь, что вы скачиваете файлы только из проверенных источников, независимо от того, являются ли они подписанными или нет.

По материалам Bitdefender

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте