Microsoft виявила прихований майнер у пакеті шрифтів

Microsoft заявила, що хакери зламали пакет шрифтів, що встановлюється PDF-редактором, і використовували його для встановлення майнера криптовалюти на комп'ютерах користувачів.

Компанія виявила інцидент після того, як її співробітники отримали попередження від Windows Defender ATP (комерційна версія антивірусу Windows Defender).

Співробітники Microsoft повідомили, що вони досліджували попередження та визначили, що хакери порушили інфраструктуру хмарного сервера компанії, яка надає пакети шрифтів у вигляді файлів MSI іншим компаніям-розробникам програмного забезпечення. Одна з них використовувала ці пакети для свого додатка PDF-редактора, який їх з хмарних серверів постачальника шрифту під час процедури встановлення редактора.

«Атакуючі відтворили всю інфраструктуру [компанії-розробника] на сервері-репліці, яким володіли та контролювали зловмисники. Вони копіювали та розміщували на ньому всі MSI файли, включаючи чисті підписані пакети шрифтів», - заявили дослідники безпеки Microsoft. «Нападники декомпілювали та модифікували один із пакетів з азіатських шрифтів, щоб додати до нього прихований майнер криптовалюти», - додали вони.

«Використовуючи невідому вразливість (яка, зважаючи на все, не є href="https://ua.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0 target="_blank">MITM або перехопленням DNS), зловмисники змогли вплинути на параметри завантаження, що використовуються програмою. Параметри включали нове посилання для завантаження, яке вказує на сервер зловмисників", повідомили у Microsoft.

Користувачі, які завантажили та запустили додаток PDF-редактора, неусвідомлено встановлювали пакети шрифтів, у тому числі шкідливі, із сервера хакерів. Оскільки програма PDF-редактора була встановлена з використанням привілеїв рівня SYSTEM, код прихованого шкідливого майнера отримував повний доступ до системи користувача. Шкідливість створював свій власний процес з ім'ям xbox-service.exe, який і займався майнінгом криптовалюти на комп'ютері жертви.

Microsoft заявила, що Windows Defender ATP виявив поведінку, специфічну для майнерів. Потім дослідники відстежили походження цього процесу до програми встановлення PDF-редактора та MSI пакета шрифтів..

Вони заявили, що було легко визначити, який саме MSI-пакет шрифтів був шкідливим, оскільки всі інші файли MSI були підписані оригінальною компанією-розробником програмного забезпечення, за винятком одного файлу, який втратив свою автентичність, коли шахраї впровадили код майнера.

Цей сірий майнер також звернув на себе увагу фахівців завдяки тому, що він також намагався змінити файл hosts у слабкій спробі вимкнути операції оновлення різних програм безпеки. Операції з файлом hosts у Windows більшість антивірусних програм відзначають як підозрілі чи зловмисні.

Microsoft не розкрила імена двох компаній-розробників програмного забезпечення, які беруть участь у цьому інциденті, вказавши лише на те, що зламані компанії не є великими гравцями на ринку програмного забезпечення для роботи з PDF. Виробник ОС каже, що робота зловреда була активна лише в період із січня по березень 2018 року, і проблема торкнулася невеликої кількості користувачів.

За матеріалами BleepingComputer.com