Microsoft обнаружила скрытый майнер в пакете шрифтов
Microsoft заявила, что хакеры взломали пакет шрифтов, устанавливаемый PDF-редактором, и использовали его для установки майнера криптовалюты на компьютерах пользователей.
Microsoft заявила, что хакеры взломали пакет шрифтов, устанавливаемый PDF-редактором, и использовали его для установки майнера криптовалюты на компьютерах пользователей.
Компания обнаружила инцидент после того, как ее сотрудники получили предупреждения от Windows Defender ATP (коммерческая версия антивируса Windows Defender).
Сотрудники Microsoft сообщили, что они исследовали предупреждения и определили, что хакеры нарушили инфраструктуру облачного сервера компании, предоставляющей пакеты шрифтов в виде файлов MSI другим компаниям-разработчикам программного обеспечения. Одна из них использовала эти пакеты для своего приложения PDF-редактора, которое их с облачных серверов поставщика шрифта во время процедуры установки редактора.
«Атакующие воссоздали всю инфраструктуру [компании-разработчика] на сервере-реплике, которым владели и контролировали злоумышленники. Они копировали и размещали на нем все MSI файлы, включая чистые подписанные пакеты шрифтов», - заявили исследователи безопасности Microsoft. «Нападавшие декомпилировали и модифицировали один из пакетов с азиатских шрифтов, чтобы добавить в него скрытый майнер криптовалюты», - добавили они.
«Используя неизвестную уязвимость (которая, судя по всему, не является MITM или перехватом DNS), злоумышленники смогли повлиять на параметры скачивания, используемые приложением. Параметры включали новую ссылку для загрузки, указывающую на сервер злоумышленников", сообщили в Microsoft.
Пользователи, скачавшие и запустившие приложение PDF-редактора, неосознанно устанавливали пакеты шрифтов, в том числе вредоносные, с сервера хакеров. Поскольку приложение PDF-редактора было установались с использованием привилегий уровня SYSTEM, код скрытого вредоносного майнера получал полный доступ к системе пользователя. Вредонос создавал свой собственный процесс с именем xbox-service.exe, который и занимался майнингом криптовалюты на компьютере жертвы.
Microsoft заявила, что Windows Defender ATP обнаружил поведение, специфичное для майнеров. Затем исследователи отследили происхождение этого процесса до программы установки PDF-редактора и MSI пакета шрифтов.
Они заявили, что было легко определить, какой именно MSI-пакет шрифтов был вредоносным, поскольку все другие файлы MSI были подписаны оригинальной компанией-разработчиком программного обеспечения, за исключением одного файла, который потерял свою аутентичность, когда мошенники внедрили в него код майнера.
Этот серый майнер также обратил на себя внимание специалистов благодаря тому, что он также пытался изменить файл hosts в слабой попытке отключить операции обновления различных приложений безопасности. Операции с файлом hosts в Windows большинство антивирусных программ отмечают как подозрительные или злонамеренные.
Microsoft не раскрыла имена двух компаний-разработчиков программного обеспечения, участвующих в этом инциденте, указав лишь на то, что взломанные компании не являются крупными игроками на рынке программного обеспечения для работы с PDF. Производитель ОС говорит, что работа зловреда была активна лишь в период с января по март 2018 года, и проблема затронула небольшое количество пользователей.
