Киберугроза: вредоносный файл с цифровой подписью

Киберпреступники адаптируют свои методы, маскируя вредоносное ПО под популярные программы и игры. Недавняя кампания включала использование подписанного цифрового сертификата для файла «sims-4-updater-v1.4.7.exe», что значительно усложнило его обнаружение. Специалисты Breakglass Intelligence выявили, что файл был подписан сертификатом DigiCert, выданным южнокорейской компанией всего за пять дней до его распространения.

Анализ показал, что программа является бэкдором с обфускацией, и связана с группой APT-Q-27, ранее известной своими атаками на игорный бизнес. Основной сервер для распространения вредоносного кода размещен на домене «lightindividual.com», а для его загрузки используется ресурс «anadius.su».

Ключевым моментом стало использование EV-сертификата, который снижает подозрения у защитных систем. В настоящее время инициирован отзыв сертификата, и ведется расследование о возможной компрометации сайта.