Aanvallers zijn erin geslaagd om certificaten van netwerkbedrijf D-Link en Changing Information Technologies te stelen die worden gebruikt voor het signeren van software en hebben daarmee hun malware gesigneerd. De gestolen certificaten werden gebruikt voor het signeren van de Plead-malware en een gerelateerde wachtwoordsteler.
De Plead-malware is een backdoor die aanvallers op afstand volledige controle over het systeem geeft, zo meldt anti-virusbedrijf ESET. Via de wachtwoordsteler werden in Google Chrome, Internet Explorer, Microsoft Outlook en Mozilla Firefox opgeslagen wachtwoorden gestolen. Het bij D-Link gestolen certificaat werd op 3 juli ingetrokken, een dag later volgde het certificaat van Changing Information Technology. Toch maken de aanvallers nog steeds van dit laatste certificaat gebruik voor het signeren van hun malware.
Hoe de aanvallers de certificaten konden stelen is onbekend. Door hun malware met de gestolen certificaten te signeren konden de aanvallers die als legitieme applicatie voordoen en heeft de malware een grotere kans om niet te worden opgemerkt. Het komt vaker voor dat aanvallers gestolen certificaten voor hun malware gebruiken. Een bekend voorbeeld is de Stuxnet-worm die gebruikmaakte van certificaten die bij RealTeak en JMicron waren gestolen.
Volgens anti-virusbedrijf Trend Micro is de Plead-malware tegen de Taiwanese overheid en private organisaties ingezet. De aanvallers hebben het daarbij vooral op vertrouwelijke documenten voorzien. Om de malware te verspreiden maken de aanvallers gebruik van spearphishingmails die een kwaadaardige bijlage bevatten of naar de malware linken. De meegestuurde of gelinkte bestanden doen zich voor als documenten en maken gebruik van de right-to-left-override (RTLO) techniek om de bestandsextensie van de malware te verbergen.
Deze posting is gelocked. Reageren is niet meer mogelijk.