• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Emsisoft предупреждает – хакеры подделывают её сертификаты для взлома сетей

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Компания Emsisoft предупредила своих клиентов о том, что киберпреступники используют поддельные сертификаты для подписи кода, выдавая себя за Emsisoft, чтобы нацеливаться на клиентов компании в надежде обойти их защиту.

Сертификаты подписи кода — это цифровые подписи, используемые для подписи приложения, чтобы пользователи, программное обеспечение и операционные системы могли убедиться, что программное обеспечение не было изменено с момента его подписания издателем. Злоумышленники пытаются воспользоваться этим, создавая поддельные сертификаты, имя которых имитирует название известной компании.

В новом бюллетене по безопасности Emsisoft предупредила, что один из ее клиентов стал мишенью хакеров, которые использовали исполняемый файл, подписанный поддельным сертификатом Emsisoft. Фирма считает, что это было сделано для обмана жертвы – так пользователь будет думать, что любое обнаружение является ложным срабатыванием, и позволит программе работать.

По словам Emsisoft, хакер, вероятно, получил первоначальный доступ к скомпрометированному устройству с помощью RDP-протокола или с использованием украденных учетных данных сотрудника целевой организации.

Получив доступ к конечной точке, злоумышленники попытались установить MeshCentral, приложение удаленного доступа с открытым исходным кодом, которому обычно доверяют продукты безопасности, поскольку оно используется в законных целях. Однако исполняемый файл MeshCentral был подписан поддельным сертификатом Emsisoft.

Когда продукт безопасности Emsisoft просканировал файл, он пометил его как «Неизвестный» из-за недопустимой подписи и поместил файл в карантин.

Если бы сотрудник воспринял это предупреждение как ложное срабатывание из-за имени цифровой подписи, он мог разрешить запуск приложения, что позволило бы киберпреступнику получить полный доступ к устройству. Затем этот удаленный доступ можно использовать для отключения средств защиты, распространения по сети, кражи конфиденциальных данных и развертывания программ-вымогателей.

Emsisoft предупреждает, что исполняемым файлам следует доверять только после подтверждения того, что файл не является вредоносным, и связаться с поставщиками средств защиты, прежде чем разрешать запуск исполняемого файла с недействительной подписью. Компания также предлагает, чтобы системные администраторы установили пароли на установленные программы Emsisoft, чтобы предотвратить их подделку или отключение в случае взлома.
 
Сверху