Исследователи Microsoft предупредили о компрометации пакета шрифтов, входящего в состав неназванного PDF-редактора. С января по март 2018 года неизвестные злоумышленники использовали эту брешь для установки криптовалютных майнеров на компьютеры пользователей.
Эксперты Microsoft узнали о проблеме, когда начали получать оповещения от Windows Defender ATP (коммерческая версия Windows Defender). Проведенное расследование показало, что хакеры проникли в облачную инфраструктуру некой компании, предоставляющей пакеты шрифтов (в виде файлов MSI) другим софтверным фирмам.
«Атакующие воссоздали инфраструктуру [первой компании] на сервере, который принадлежал им. Они скопировали и разместили на своем сервере все файлы MSI, включая пакеты шрифтов, все чистые и с цифровыми подписями, — пишут исследователи Microsoft. — Затем атакующие декомпилировали один файл MSI, пакет азиатских шрифтов, и добавили в его код вредоносный пейлоад криптовалютного майнера».
После перечисленных манипуляций атакующие каким-то образом сумели изменить параметры загрузки в неназванном PDF-редакторе, указав в качестве ссылки для загрузки языкового пакета собственный сервер и вредоносный MSI. Эксперты отмечают, что неизвестно, как именно осуществлялась эта компрометация, и не похоже, чтобы речь шла о Man-in-the-Middle атаке или манипуляциях с DNS.
В результате пользователи, загрузившие и установившие PDF-редактор, также загружали и вредоносный пакет шрифтов с сервера злоумышленников.
Так как приложение устанавливалось с привилегиями SYSTEM, скрытый майнер получал полный доступ к пользовательской системе. Майнер запускал процесс xbox-service.exe и начинал добывать криптовалюту, используя ресурсы системы пострадавшего.
Аналитики Microsoft пишут, что им с легкостью удалось обнаружить вредоносный файл MSI, так как все остальные файлы были подписаны софтверной компанией. Измененный злоумышленниками пакет шрифтов утратил свою аутентичность после внедрения майнера в код. Кроме того, малварь пыталась внести изменения в hosts, чтобы помешать обновлениям ряда приложений, а подобную активность тоже легко обнаруживают практически любые антивирусы.
