Новое вредоносное ПО Blister использует цифровые сертификаты для обхода обнаружения

Специалисты ИБ-компании Elastic Security рассказали о вредоносной кампании, в ходе которой злоумышленники используют цифровые сертификаты для обхода решений безопасности и тайной установки Cobalt Strike и BitRAT на скомпрометированные системы.

Загрузчик вредоносного ПО с незначительным или нулевым обнаружением на VirusTotal получил название Blister. Вектор заражения, использованный для организации атаки, и конечные цели злоумышленников остаются неизвестными.

Как уже упоминалось, отличительной чертой атак является использование действительных цифровых сертификатов, выпущенных удостоверяющим центром Sectigo. Вредоносное ПО подписано с помощью сертификата от 15 сентября 2021 года. По словам исследователей, они обратились к УЦ для того, чтобы он отозвал скомпрометированные сертификаты.

«Зачастую исполняемые файлы, подписанные действительными сертификатами, исследуются в меньшей степени, чем неподписанные исполняемые файлы. Их использование позволяет злоумышленникам оставаться вне поля зрения и уклоняться от обнаружения в течение более длительного периода времени», - сообщили исследователи Джо Десимоне (Joe Desimone) и Самир Буссеаден (Samir Bousseaden).

Blister маскируется под легитимную библиотеку colorui.dll и доставляется на атакуемую систему с помощью дроппера dxpo8umrzrr1w6gm.exe. После выполнения загрузчик на 10 минут переходит в режим ожидания, скорее всего, чтобы обойти анализ песочницы. Затем он получает постоянство на системе и расшифровывает встроенную вредоносную нагрузку Cobalt Strike или BitRAT.

После расшифровки встроенная полезная нагрузка загружается в текущий процесс или внедряется в запущенный процесс WerFault.exe [Windows Error Reporting].