Злоупотребление сертификатами используется хакерами для распространения LummaC2 и RecordBreaker

[Artifact]

Отравление поисковой выдачи и пиратский софт – это ли не формула идеального взлома?
В последнее время киберпреступники применяют новый и весьма изощрённый метод злоупотребления сертификатами для распространения вредоносного ПО. Его основная цель — кража учётных данных и другой конфиденциальной информации. А в некоторых случаях целью хакеров также может стать кража криптовалюты.
Данная кампания использует отравление поисковой выдачи (SEO poisoning) для предоставления поисковых результатов, ведущих на вредоносные страницы и предлагающие взломанный софт.

В то время как на переднем плане сайта рекламируются нелегальные «кряки», в фоновом режиме на компьютер жертвы доставляют трояны удалённого доступа, известные как LummaC2 и RecordBreaker (он же Raccoon Stealer V2), о чем исследователи из южнокорейской ASEC сообщили в своём отчёте от 10 октября.
Помимо доставки через веб-сайты с нелегальным софтом, исследователи также заметили распространение RecordBreaker через YouTube и другие вредоносные программы.
Важно отметить, что вредоносное ПО использует нестандартные сертификаты, содержащие необычно длинные строки в полях «Subject Name» и «Issuer Name», что делает их невидимыми для систем Windows. Подписи включают в себя арабский, японский и прочие языки, отличные от английского, а также специальные символы.

Последний рассмотренный исследователями экземпляр вредоноса, используемый в реальных атаках, состоит из строки с вредоносным кодом, предназначенным для загрузки и выполнения команд PowerShell.
«Подобные образцы последовательно распространялись с небольшими структурными изменениями более двух месяцев, что наводит на мысль о конкретном намерении, стоящем за этими действиями», — написал исследователь ASEC.
Хотя такие сертификаты, вероятно, не прошли бы проверку подписи, они всё ещё могут запутать и даже обойти некоторые защитные меры. В целом, злоупотребление сертификатами уже стало в некотором роде обыденной тактикой, применяемая угрозами.
LummaC2 и Raccoon Stealer хорошо известны специалистам по безопасности. После заражения они могут передавать чувствительную информацию, такую как учётные данные, сохранённые в браузере, документы, файлы криптовалютных кошельков и т. д.
Исследователи из AhnLab Security настоятельно рекомендуют пользователям Windows быть осторожными при загрузке программного обеспечения из Интернета, особенно с сайтов, распространяющий нелегальное программное обеспечение. Даже если ранее вы уже пользовались этим сайтом, и он вызывает у вас доверие.