Xakep #305. Многошаговые SQL-инъекции
Взлом Sony Pictures привёл не только к утечке конфиденциальных данных о сотрудниках, сумм гонораров со звёздами, цифровых копий будущих фильмов и почтовой переписки топ-менеджеров. Вчера стало известно об ещё одном эффекте: «Лаборатория Касперского» обнаружила версию зловреда Destover, подписанную цифровой подписью Sony.
То есть в руки злоумышленников из группировки #GOP попали, среди прочего, и цифровые сертификаты, которые используются для подписи программного обеспечения.
«ЛК» напоминает, что семейство троянов Destover использовалось для проведения атаки DarkSeoul против Южной Кореи в марте 2013 года, а также в нынешней атаке на Sony.
Новый образец трояна Destover подписан с использованием валидного цифрового сертификата от Comodo. Дата выдачи — 5 декабря 2014 года.
Этот же образец раньше встречался, но только без подписи. Его хеш MD5: 6467c6df4ba4526c7f7a7bc950bd47eb, а дата компиляции указана как июль 2014 года.
Новый хеш MD5: e904bf93403c0fb08b9683a9e858c73e.
Теоретически, цифровая подпись повышает эффективность зловреда, но в реальности современные антивирусы вполне определяют и такое malware.