Microsoft обнаружила скрытый майнер в пакете шрифтов

Microsoft обнаружила скрытый майнер в пакете шрифтов

Microsoft заявила, что хакеры взломали пакет шрифтов, устанавливаемый PDF-редактором, и использовали его для установки майнера криптовалюты на компьютерах пользователей.

Компания обнаружила инцидент после того, как её сотрудники получили предупреждения от Windows Defender ATP (коммерческая версия антивируса Windows Defender).

Сотрудники Microsoft сообщили, что они исследовали предупреждения и определили, что хакеры нарушили инфраструктуру облачного сервера компании, предоставляющей пакеты шрифтов в виде файлов MSI другим компаниям-разработчикам программного обеспечения. Одна из них использовала эти пакеты для своего приложения PDF-редактора, которое их с облачных серверов поставщика шрифта во время процедуры установки редактора.

«Атакующие воссоздали всю инфраструктуру [компании-разработчика] на сервере-реплике, которым владели и контролировали злоумышленники. Они копировали и размещали на нем все MSI файлы, включая чистые подписанные пакеты шрифтов», - заявили исследователи безопасности Microsoft. «Нападавшие декомпилировали и модифицировали один из пакетов с азиатских шрифтов, чтобы добавить в него скрытый майнер криптовалюты», - добавили они.

«Используя неизвестную уязвимость (которая, судя по всему, не является MITM или перехватом DNS), злоумышленники смогли повлиять на параметры скачивания, используемые приложением. Параметры включали новую ссылку для загрузки, указывающую на сервер злоумышленников", сообщили в Microsoft.

Пользователи, скачавшие и запустившие приложение PDF-редактора, неосознанно устанавливали пакеты шрифтов, в том числе вредоносные, с сервера хакеров. Поскольку приложение PDF-редактора было установались с использованием привилегий уровня SYSTEM, код скрытого вредоносного майнера получал полный доступ к системе пользователя. Вредонос создавал свой собственный процесс с именем xbox-service.exe, который и занимался майнингом криптовалюты на компьютере жертвы.

Microsoft заявила, что Windows Defender ATP обнаружил поведение, специфичное для майнеров. Затем исследователи отследили происхождение этого процесса до программы установки PDF-редактора и MSI пакета шрифтов.

Они заявили, что было легко определить, какой именно MSI-пакет шрифтов был вредоносным, поскольку все другие файлы MSI были подписаны оригинальной компанией-разработчиком программного обеспечения, за исключением одного файла, который потерял свою аутентичность, когда мошенники внедрили в него код майнера.

Этот серый майнер также обратил на себя внимание специалистов благодаря тому, что он также пытался изменить файл hosts в слабой попытке отключить операции обновления различных приложений безопасности. Операции с файлом hosts в Windows большинство антивирусных программ отмечают как подозрительные или злонамеренные.

Microsoft не раскрыла имена двух компаний-разработчиков программного обеспечения, участвующих в этом инциденте, указав лишь на то, что взломанные компании не являются крупными игроками на рынке программного обеспечения для работы с PDF. Производитель ОС говорит, что работа зловреда была активна лишь в период с января по март 2018 года, и проблема затронула небольшое количество пользователей.

По материалам BleepingComputer.com

Читайте также

8632018-07-16

Пользователи Facebook подвергаются новому виду киберпреступлений - от них требуют выкуп в биткойне

Угрозы начинаются в тот момент, когда жертва получает на свою почту небольшой файл с личным паролем от одного сайта для взрослых. В отличии от других подобных случаев, жертвы заявляют, что эти пароли были действительными. Киберпреступники утверждают, что для того, чтобы получить пароли, они заразили видео на порно-сайтах вирусом.

Безопасность
4282018-10-27

Хакер получил выкуп в bitcoin от Федерации коренных народов Канады

Организация, представляющая коренные племена в Канаде, недавно заплатила выкуп в bitcoin на сумму 20 тысяч долларов, чтобы восстановить доступ к компьютерным файлам, которые были зашифрованы хакером.

Безопасность, Это интересно

Последние статьи из раздела Безопасность

Свежее видео на канале

Выбор редакции

147222017-12-10

Bitcoin: пирамида или нет?

С января 2009 года, когда был сгенерирован первый генезиз-блок bitcoin-сети, прошло уже девять лет, но до сих пор всякого рода "эксперты" ломают копья в спорах: являются ли криптовалюты финансовой пирамидой или нет. Быстрый рост доходности bitcoin и прибыли тех, кто раньше стал участником этой системы, пугает схожестью с пирамидами 90-х.

Bitcoin
108822018-04-28

on-chain и off-chain управление: за и против

Чтобы понять важность управления блокчейном и дискуссии вокруг этого вопроса, сначала нужно определить что такое управление блокчейном, его роль и цели. Управление блокчейном в сфере криптовалют состоит из двух пунктов: правил протокола (кода) и экономических стимулов, на которых основана сеть.

Blockchain
74222018-07-28

Грузинская криптокухня. Выбираем блюда

Ни для кого не секрет тот факт, что Грузия является одной из самых лояльных стран постоветского пространства, где не только уютно, но и выгодно вести бизнес. Это стало возможным буквально за последние 10 лет благодаря колоссальным реформаторским усилиям сменявших друг друга руководителей страны, каждый из которых стремился сделать её лучше и богаче. Как именно обстоят дела здесь с криптовалютным бизнесом попытаемся разобраться в нашем сегодняшнем материале.

Право, Майнинг, Регуляторы
60902018-06-25

Поиск серых майнеров в недрах Chrome и Opera

Вы уже знаете как javascript-майнеры попадают на страницы интернет-ресурсов. Теперь попробуем разобраться как же выяснить какая именно из множества открытых вкладок использует Ваши ресурсы для добычи криптовалюты.

Безопасность
40592018-09-13

Три быка, которые могут спасти крипторынок

Несмотря на упадок криптовалютного рынка, долгожданное участие институциональных инвесторов в сделках с цифровыми активами уже не за горами. Такие известные фирмы, как Coinbase, Nasdaq и Bakkt уже вошли в мейнстрим, осталось только подождать, пока это сделает весь рынок цифровых активов.

Мнение
35432018-06-08

Принимаем оплату в bitcoin: Часть первая, теоретическая

Интернет полон статей о том, какое прекрасное будущее готовит нам blockchain, как это "стильно, модно и инновационно". Однако информации, как практически воспользоваться всем этим великолепием, крайне мало. Попробуем частично восполнить этот пробел.

Обучение