Fałszywy instalator Malwarebytes w programach do Torrentów i ADBlokerów

27 października, 2020

Po co instalować fałszywego antywirusa? Dokładnie z takich samych pobudek co trojana bankowego albo oprogramowanie RAT. Badacze firmy Avast opisują taką kampanię, w której instalator „fakeMBAM”, podszywający się pod Malwarebytes Anti-Malware, był dystrybuowany pod tą samą nazwą co pierwowzór — używał tej samej ikony i tworzył katalog instalacyjny zawierający legalne pliki PE podpisane cyfrowo przez Malwarebytes. Jednak to wszystko było tylko pozorem, ponieważ instalator w rzeczywistości zawierał backdoora.

map logo
Graficzna wizualizacja najczęściej wykrywanego backdoora według kraju.

Wiele aplikacji można aktualizować automatycznie i bez udziału użytkownika. Jest to powszechnie uważane za dobrą praktykę z punktu widzenia bezpieczeństwa, ponieważ możliwe staje się szybkie rozesłanie łaty na krytyczną lukę. Jednak w pewnych sytuacjach automatyczna automatyzacja to dodatkowe ryzyko, ponieważ umożliwia twórcom oprogramowania wysyłanie dowolnego kodu na komputery w niemal dowolnym czasie. W takich przypadkach użytkownicy często nie mają innego wyjścia, jak tylko zaufać programistom.

Nietypowy wektor infekcji: łańcuch dostaw aktualizacji

Nieuczciwi pracownicy albo hakerzy uzyskali dostęp do procesu aktualizacji programu Download Studio i trzech aplikacji blokujących reklamy, próbując dostarczyć backdoor FakeMBAM setkom tysięcy ofiar, głównie w Rosji, na Ukrainie i Kazachstanie. W pewnym sensie można mówić o ukierunkowanej kampanii w ludność posługującą się cyrylicą.  

Fałszywy Instalator Malwarebytes zawierał legalne pliki PE podpisane cyfrowo przez Malwarebytes z pewnymi dodatkami. W rzeczywistości instalowany był backdoor, aby umożliwić ich operatorom wysyłanie dodatkowych złośliwych ładunków na zainfekowane maszyny.

Atak na łańcuch dostaw to jeden z najniebezpieczniejszych i najskuteczniejszych wektorów infekcji, coraz częściej wykorzystywany w zaawansowanych operacjach przestępczych na przestrzeni ostatnich lat. Wykorzystuje konkretne słabe punkty we wzajemnie połączonych systemach zasobów ludzkich, organizacyjnych, materiałowych oraz intelektualnych biorących udział w cyklu życia produktu: od wstępnego etapu rozwoju po użytkownika końcowego. Mimo zabezpieczeń infrastruktury producenta, luki mogą występować w systemach dostawców, sabotując łańcuch dostaw i prowadząc do destrukcyjnego i nieoczekiwanego naruszenia bezpieczeństwa danych.   

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]