Microsoft обнаружила скрытый майнер в пакете шрифтов

Microsoft обнаружила скрытый майнер в пакете шрифтов

Microsoft заявила, что хакеры взломали пакет шрифтов, устанавливаемый PDF-редактором, и использовали его для установки майнера криптовалюты на компьютерах пользователей.

Компания обнаружила инцидент после того, как её сотрудники получили предупреждения от Windows Defender ATP (коммерческая версия антивируса Windows Defender).

Сотрудники Microsoft сообщили, что они исследовали предупреждения и определили, что хакеры нарушили инфраструктуру облачного сервера компании, предоставляющей пакеты шрифтов в виде файлов MSI другим компаниям-разработчикам программного обеспечения. Одна из них использовала эти пакеты для своего приложения PDF-редактора, которое их с облачных серверов поставщика шрифта во время процедуры установки редактора.

«Атакующие воссоздали всю инфраструктуру [компании-разработчика] на сервере-реплике, которым владели и контролировали злоумышленники. Они копировали и размещали на нем все MSI файлы, включая чистые подписанные пакеты шрифтов», - заявили исследователи безопасности Microsoft. «Нападавшие декомпилировали и модифицировали один из пакетов с азиатских шрифтов, чтобы добавить в него скрытый майнер криптовалюты», - добавили они.

«Используя неизвестную уязвимость (которая, судя по всему, не является MITM или перехватом DNS), злоумышленники смогли повлиять на параметры скачивания, используемые приложением. Параметры включали новую ссылку для загрузки, указывающую на сервер злоумышленников", сообщили в Microsoft.

Пользователи, скачавшие и запустившие приложение PDF-редактора, неосознанно устанавливали пакеты шрифтов, в том числе вредоносные, с сервера хакеров. Поскольку приложение PDF-редактора было установались с использованием привилегий уровня SYSTEM, код скрытого вредоносного майнера получал полный доступ к системе пользователя. Вредонос создавал свой собственный процесс с именем xbox-service.exe, который и занимался майнингом криптовалюты на компьютере жертвы.

Microsoft заявила, что Windows Defender ATP обнаружил поведение, специфичное для майнеров. Затем исследователи отследили происхождение этого процесса до программы установки PDF-редактора и MSI пакета шрифтов.

Они заявили, что было легко определить, какой именно MSI-пакет шрифтов был вредоносным, поскольку все другие файлы MSI были подписаны оригинальной компанией-разработчиком программного обеспечения, за исключением одного файла, который потерял свою аутентичность, когда мошенники внедрили в него код майнера.

Этот серый майнер также обратил на себя внимание специалистов благодаря тому, что он также пытался изменить файл hosts в слабой попытке отключить операции обновления различных приложений безопасности. Операции с файлом hosts в Windows большинство антивирусных программ отмечают как подозрительные или злонамеренные.

Microsoft не раскрыла имена двух компаний-разработчиков программного обеспечения, участвующих в этом инциденте, указав лишь на то, что взломанные компании не являются крупными игроками на рынке программного обеспечения для работы с PDF. Производитель ОС говорит, что работа зловреда была активна лишь в период с января по март 2018 года, и проблема затронула небольшое количество пользователей.

По материалам BleepingComputer.com

Читайте также

15862018-11-05

В Google Play найдено очередное фишинговое приложение

Видео, опубликованное на прошлой недели специалистом по кибербезопасности Лукасом Стефанко, раскрыло вредоносное приложение, размещенное в магазине Google Play, которое крадет данные для входа пользователей в обычные банковские и криптовалютные приложения.

Безопасность
32512018-08-03

Атака, известная как уязвимость нулевого дня, поразила маршрутизаторы в Бразилии

Мошенники осуществили сложную атаку скрытого майнинга, заразив сотни тысяч маршрутизаторов MikroTik по всей Бразилии. Целью атаки является создание массивной бот-платформы по добыче XMR.

Безопасность

Последние статьи из раздела Безопасность

Свежее видео на канале

Выбор редакции

305952020-10-30

Топ 10 крипто кошельков в 2020 году

По мере роста популярности криптовалют растет и спрос на качественные и безопасные криптовалютные кошельки.

Кошельки
277272017-12-10

Bitcoin: пирамида или нет?

С января 2009 года, когда был сгенерирован первый генезиз-блок bitcoin-сети, прошло уже девять лет, но до сих пор всякого рода "эксперты" ломают копья в спорах: являются ли криптовалюты финансовой пирамидой или нет. Быстрый рост доходности bitcoin и прибыли тех, кто раньше стал участником этой системы, пугает схожестью с пирамидами 90-х.

Bitcoin
231062018-04-28

on-chain и off-chain управление: за и против

Чтобы понять важность управления блокчейном и дискуссии вокруг этого вопроса, сначала нужно определить что такое управление блокчейном, его роль и цели. Управление блокчейном в сфере криптовалют состоит из двух пунктов: правил протокола (кода) и экономических стимулов, на которых основана сеть.

Blockchain
167972018-07-28

Грузинская криптокухня. Выбираем блюда

Ни для кого не секрет тот факт, что Грузия является одной из самых лояльных стран постоветского пространства, где не только уютно, но и выгодно вести бизнес. Это стало возможным буквально за последние 10 лет благодаря колоссальным реформаторским усилиям сменявших друг друга руководителей страны, каждый из которых стремился сделать её лучше и богаче. Как именно обстоят дела здесь с криптовалютным бизнесом попытаемся разобраться в нашем сегодняшнем материале.

Право, Майнинг, Регуляторы
119342021-05-08

Какие альткоины принесут своим держателям доход в 2021 году?

Мы решили помочь тем, кто хочет заработать на криптовалютах, но не располагает большими средствами, чтобы покупать монеты из первой пятерки рейтинга.

Альткоины
89112018-05-12

Эволюция человека и денег

Развитие биткойна и блокчейна началось приблизительно 70000 лет назад, когда хомо сапиенс превзошли свои биологические лимиты как вид. Это история, которая уходит глубоко корнями в эволюцию человечества.

Это интересно