A empresa de segurança cibernética Elastic Security descobriu um ataque maciço de malware que usa um certificado de assinatura e outros métodos para mantê-lo sem ser detectado pelo software antivírus.
Fonte da imagem: Darwin Laganzon / pixabay.com
O malware é assinado com um certificado válido datado de 15 de setembro de 2021, emitido pela autoridade de certificação Sectigo para Blist LLC – daí o nome Blister. Observe-se que os dados do proprietário do certificado contêm um endereço de e-mail em um dos domínios de propriedade de Mail.ru.
O carregador penetra no sistema sob o disfarce de bibliotecas regulares como colorui.dll e é executado por meio do Rundll32. Uma vez no sistema, ele interrompe o trabalho por 10 minutos e entra no modo de espera – os especialistas têm certeza de que isso o ajuda a ignorar a análise da sandbox. Em seguida, a carga útil é decodificada, que é carregada em um dos processos e faz todo o resto: abre acesso remoto ao sistema, se espalha pela rede local, salva suas cópias na pasta ProgramData do sistema e se disfarça como rundll32.exe. Para piorar, o malware é adicionado à inicialização e carregado sempre que o sistema operacional é iniciado.
Os pesquisadores já notificaram o Sectigo e pediram a revogação do certificado – isso vai acelerar o combate ao Blister. Mas, por enquanto, o bootloader permanece com pouca ou nenhuma detecção no VirusTotal.
A NASA anunciou o acesso gratuito para todos ao programa Exoplanet Watch (“Observação de exoplanetas”).…
A Coffee Stain Publishing e os desenvolvedores do estúdio dinamarquês Ghost Ship Games resumiram os…
A MSI expandiu sua gama de monitores de jogos de pontos quânticos com a introdução…
A Gigabyte expandiu seu portfólio SSD M.2 com a nova série Aorus Gen4 7300 SSD.…
A Roccat lançou um teclado compacto de membrana para jogos Magma Mini. A novidade usa…
No início de janeiro, soube-se que a jovem montadora americana Rivian produziu 24.337 veículos elétricos…