Fałszywy instalator Malwarebytes w programach do Torrentów i ADBlokerów

27 października 2020

Po co instalować fałszywego antywirusa? Dokładnie z takich samych pobudek co trojana bankowego albo oprogramowanie RAT. Badacze firmy Avast opisują taką kampanię, w której instalator „fakeMBAM”, podszywający się pod Malwarebytes Anti-Malware, był dystrybuowany pod tą samą nazwą co pierwowzór — używał tej samej ikony i tworzył katalog instalacyjny zawierający legalne pliki PE podpisane cyfrowo przez Malwarebytes. Jednak to wszystko było tylko pozorem, ponieważ instalator w rzeczywistości zawierał backdoora.

Graficzna wizualizacja najczęściej wykrywanego backdoora według kraju.

Wiele aplikacji można aktualizować automatycznie i bez udziału użytkownika. Jest to powszechnie uważane za dobrą praktykę z punktu widzenia bezpieczeństwa, ponieważ możliwe staje się szybkie rozesłanie łaty na krytyczną lukę. Jednak w pewnych sytuacjach automatyczna automatyzacja to dodatkowe ryzyko, ponieważ umożliwia twórcom oprogramowania wysyłanie dowolnego kodu na komputery w niemal dowolnym czasie. W takich przypadkach użytkownicy często nie mają innego wyjścia, jak tylko zaufać programistom.

Nietypowy wektor infekcji: łańcuch dostaw aktualizacji

Nieuczciwi pracownicy albo hakerzy uzyskali dostęp do procesu aktualizacji programu Download Studio i trzech aplikacji blokujących reklamy, próbując dostarczyć backdoor FakeMBAM setkom tysięcy ofiar, głównie w Rosji, na Ukrainie i Kazachstanie. W pewnym sensie można mówić o ukierunkowanej kampanii w ludność posługującą się cyrylicą.  

Fałszywy Instalator Malwarebytes zawierał legalne pliki PE podpisane cyfrowo przez Malwarebytes z pewnymi dodatkami. W rzeczywistości instalowany był backdoor, aby umożliwić ich operatorom wysyłanie dodatkowych złośliwych ładunków na zainfekowane maszyny.

Atak na łańcuch dostaw to jeden z najniebezpieczniejszych i najskuteczniejszych wektorów infekcji, coraz częściej wykorzystywany w zaawansowanych operacjach przestępczych na przestrzeni ostatnich lat. Wykorzystuje konkretne słabe punkty we wzajemnie połączonych systemach zasobów ludzkich, organizacyjnych, materiałowych oraz intelektualnych biorących udział w cyklu życia produktu: od wstępnego etapu rozwoju po użytkownika końcowego. Mimo zabezpieczeń infrastruktury producenta, luki mogą występować w systemach dostawców, sabotując łańcuch dostaw i prowadząc do destrukcyjnego i nieoczekiwanego naruszenia bezpieczeństwa danych.   

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone