אושפיזין לא רצויים: מפתחי נוזקות יצרו חתימות שגויות למניעת גילוי

חוקרי גוגל חשפו טכניקות המשמשות "לדחוף" תוכנות מפוקפקות לקורבנות תמימים ● הם ציינו כי זו הייתה הפעם הראשונה שחוקריו צפו בהאקרים המשתמשים בטכניקה זו כדי להתחמק מאיתור מחד, תוך שהם שומרים על חתימה דיגיטלית תקפה, מאידך

במטרה להתחמק מגילוי. קידוד לא חוקי. אילוסטרציה: BigStock

חוקרי אבטחה גילו האקרים אשר מפתחים חתימות קוד לא תקינות, הנדמות להיראות תקפות במערכות חלונות (Windows) – כדי למנוע זיהוי שלהם על ידי תוכנות אבטחה.

החוקרים, מקבוצת ניתוח האיומים של גוגל (TAG) מצאו כי ההאקרים השתמשו בטכניקות להתקנת OpenSUpdater, ולאחר מכן הם השתמשו בתוכנה' כדי להוריד ולהתקין תוכנות החשודות כנוזקות – אחרות.

"השחקן שעומד מאחורי OpenSUpdater מנסה להדביק כמה שיותר משתמשים. למרות שאין לקבוצת המפתחים מיקוד ספציפי כלשהו, הרי שנראה שרוב המטרות שלהם נמצאות בתוך ארצות הברית. מדובר במשתמשים המורידים גרסאות של משחקים שהקוד שלהם פוצח, כך שהם לא נדרשים לשלם עליהi דמי מנוי. משתמשים אלה, וקורבנות אחרים, גם מורידים תוכנות מהאזור האפור", אמר ניל מהטה, חוקר אבטחה בגוגל.

לפני כחודש, מצא מהטה שמפתחי OpenSUpdater החלו לפתח דוגמאות לתוכנה, הכוללות אישורים לגיטימיים לכאורה. אלו הועלו באוגוסט האחרון ל- VirusTotal – אתר בבעלות גוגל, המספק שhרותי בדיקה של קבצים חשודים להימצאות נוזקות, תולעים וירוסים וסוסים טרויאניים, או תוכן מזיק או לא רצוי אחר, כגון רוגלות או תוכנות פרסום. מערכת חלונות קיבלה אותן, אולם ספריית ההצפנה בתוכנה חופשית, OpenSSL – דחתה אותם.

לדברי מהטה, "מוצרי אבטחה שמשתמשים ב-OpenSSL לחילוץ פרטי חתימה ידחו את הקידוד הזה כבלתי חוקי. עם זאת, עבור מנתח המאפשר קידודים אלה, החתימה הדיגיטלית תיראה לגיטימית ותקפה". מהטה אמר שזו הייתה הפעם הראשונה שחוקריו צפו בהאקרים המשתמשים בטכניקה זו כדי להתחמק מאיתור מחד, תוך שהם שומרים על חתימה דיגיטלית תקפה, מאידך. הוא הוסיף כי מאז שהם גילו בראשונה את הפעילות הזו, מחברי OpenSUpdater ניסו וריאציות אחרות עם קידוד לא חוקי, "כדי להתחמק עוד יותר מהגילוי". חוקרים בצוות של מהטה דיווחו על הטכניקה החדשה לאנשי הפיתוח והאבטחה של מיקרוסופט, בטרם הפרסום הזה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים