Взлом Sony Pictures привёл не только к утечке конфиденциальных данных о сотрудниках, сумм гонораров со звёздами, цифровых копий будущих фильмов и почтовой переписки топ-менеджеров. Вчера стало известно об ещё одном эффекте: «Лаборатория Касперского» обнаружила версию зловреда Destover, подписанную цифровой подписью Sony.

То есть в руки злоумышленников из группировки #GOP попали, среди прочего, и цифровые сертификаты, которые используются для подписи программного обеспечения.

«ЛК» напоминает, что семейство троянов Destover использовалось для проведения атаки DarkSeoul против Южной Кореи в марте 2013 года, а также в нынешней атаке на Sony.

Новый образец трояна Destover подписан с использованием валидного цифрового сертификата от Comodo. Дата выдачи — 5 декабря 2014 года.

003

Этот же образец раньше встречался, но только без подписи. Его хеш MD5: 6467c6df4ba4526c7f7a7bc950bd47eb, а дата компиляции указана как июль 2014 года.

004

Новый хеш MD5: e904bf93403c0fb08b9683a9e858c73e.

Теоретически, цифровая подпись повышает эффективность зловреда, но в реальности современные антивирусы вполне определяют и такое malware.



3 комментария

  1. 10.12.2014 at 15:06

  2. 10.12.2014 at 15:57

    «Теоретически, цифровая подпись повышает эффективность зловреда, но в реальности современные антивирусы вполне определяют и такое malware» — определяют, но только после успешного применения и пересылки образца в антивирусную лабораторию. Трудно не обнаружить бомбу после взрыва. 🙂

  3. 11.12.2014 at 11:26

    Sony R.I.P.
    скоро, на всех мониторах планеты

Оставить мнение