Microsoft заявила, что хакеры взломали пакет шрифтов, устанавливаемый PDF-редактором, и использовали его для установки майнера криптовалюты на компьютерах пользователей.
Компания обнаружила инцидент после того, как её сотрудники получили предупреждения от Windows Defender ATP (коммерческая версия антивируса Windows Defender).
Сотрудники Microsoft сообщили, что они исследовали предупреждения и определили, что хакеры нарушили инфраструктуру облачного сервера компании, предоставляющей пакеты шрифтов в виде файлов MSI другим компаниям-разработчикам программного обеспечения. Одна из них использовала эти пакеты для своего приложения PDF-редактора, которое их с облачных серверов поставщика шрифта во время процедуры установки редактора.
«Атакующие воссоздали всю инфраструктуру [компании-разработчика] на сервере-реплике, которым владели и контролировали злоумышленники. Они копировали и размещали на нем все MSI файлы, включая чистые подписанные пакеты шрифтов», - заявили исследователи безопасности Microsoft. «Нападавшие декомпилировали и модифицировали один из пакетов с азиатских шрифтов, чтобы добавить в него скрытый майнер криптовалюты», - добавили они.
«Используя неизвестную уязвимость (которая, судя по всему, не является MITM или перехватом DNS), злоумышленники смогли повлиять на параметры скачивания, используемые приложением. Параметры включали новую ссылку для загрузки, указывающую на сервер злоумышленников", сообщили в Microsoft.
Пользователи, скачавшие и запустившие приложение PDF-редактора, неосознанно устанавливали пакеты шрифтов, в том числе вредоносные, с сервера хакеров. Поскольку приложение PDF-редактора было установались с использованием привилегий уровня SYSTEM, код скрытого вредоносного майнера получал полный доступ к системе пользователя. Вредонос создавал свой собственный процесс с именем xbox-service.exe, который и занимался майнингом криптовалюты на компьютере жертвы.
Microsoft заявила, что Windows Defender ATP обнаружил поведение, специфичное для майнеров. Затем исследователи отследили происхождение этого процесса до программы установки PDF-редактора и MSI пакета шрифтов.
Они заявили, что было легко определить, какой именно MSI-пакет шрифтов был вредоносным, поскольку все другие файлы MSI были подписаны оригинальной компанией-разработчиком программного обеспечения, за исключением одного файла, который потерял свою аутентичность, когда мошенники внедрили в него код майнера.
Этот серый майнер также обратил на себя внимание специалистов благодаря тому, что он также пытался изменить файл hosts в слабой попытке отключить операции обновления различных приложений безопасности. Операции с файлом hosts в Windows большинство антивирусных программ отмечают как подозрительные или злонамеренные.
Microsoft не раскрыла имена двух компаний-разработчиков программного обеспечения, участвующих в этом инциденте, указав лишь на то, что взломанные компании не являются крупными игроками на рынке программного обеспечения для работы с PDF. Производитель ОС говорит, что работа зловреда была активна лишь в период с января по март 2018 года, и проблема затронула небольшое количество пользователей.
По материалам BleepingComputer.com
Читайте также
Хороший, плохой и злой баг Bitcoin
Более года все версии Bitcoin Core содержали одну из самых ужасных ошибок в истории Bitcoin. В этой статье мы раскроем хорошие, плохие и злые (отсылка к фильму 1966 года "The Good, the Bad and the Ugly" - прим. переводчика) подробности об одной из самых неприятных ошибок Bitcoin Core на сегодняшний день.
DDOS-атака на криптовалюту Verge
Verge (XVG) - это криптовалюта, предназначенная для повседневного использования и улучшения оригинального блокчейна биткойна. На данный момент криптовалюта подвергается DDOS-атакам. Компания подтвердила это в своем Twitter: “Похоже, что несколько майнинг пулов подверглись DDOS-атакам. Мы работаем над решением проблемы”.