Hogyan működik az „authenticode stuffing”?
A ScreenConnect egy távoli elérést biztosító rendszeradminisztrációs szoftver, amelyet IT-szakemberek használnak hibaelhárításra. A telepítő testreszabható: meg lehet adni, hogy a kliens melyik szerverhez kapcsolódjon, milyen szöveget jelenítsen meg, illetve milyen logót használjon. Ezeket a beállításokat a program az Authenticode tanúsítvány táblájába menti el.
Az ún. authenticode stuffing technika lehetővé teszi, hogy az aláírt telepítőben úgy cseréljenek ki fontos adatokat, hogy az eredeti digitális aláírás megmaradjon. A biztonsági szakemberek számos, szinte teljesen azonos hash-értékű, ám eltérő tanúsítványtábla-tartalmú, veszélyes bináris fájlt találtak.
Célzott támadások és trükkös adathalászat
Az első ilyen kártékony példányokat először német munkahelyeken észlelték, ahol a felhasználók adathalász átverések áldozatai lettek. Ezek jellemzően PDF vagy Canva oldalakról letölthető, felhőben (Cloudflare R2) tárolt, Request for Proposal.exe nevű fájlok. Valósághű Windows Update telepítőnek álcázzák magukat, hamis hátteret is használnak. A háttérben valójában a csalók szerveréhez kapcsolódnak (86.38.225.6:8041).
A G DATA kutatócsoport saját eszközt fejlesztett a rejtett kártékony beállítások kinyerésére, és a trójai példányokat azóta Win32.Backdoor.EvilConwi.* vagy Win32.Riskware.SilentConwi.* néven detektálják. Ezt követően a ConnectWise visszavonta a kompromittált tanúsítványokat, de a cég nem reagált a G DATA értesítésére.
Egyszerű, mégis hatékony technika
Egy másik akció során ismert vállalati szoftvert módosítottak úgy, hogy felhasználóneveket, jelszavakat és domain-információkat lopjon, és az adatokat egy támadók által ellenőrzött szerverre továbbítsa. A SonicWall tanácsa szerint minden használt szoftvert csak hivatalos forrásból érdemes letölteni.
Miközben a felhőalapú támadások egyre kifinomultabbá válnak, a bűnözőknek még mindig elég egy ilyen egyszerű trükk is ahhoz, hogy sikerrel járjanak. A Wiz kutatása szerint a felhőben jártas támadók jelenleg nyolc fő módszert használnak, amelyeket világszerte szervezetek ezreinél észleltek.
