Kaspersky Lab znalazł trojana podpisanego skradzionym certyfikatem

Firma Kaspersky Lab zidentyfikowała trojana, który korzysta ze skradzionego certyfikatu cyfrowego VeriSign, udzielonego przez Symantec firmie Conpavi związanej ze szwajcarskim rządem. Kaspersky mówi, że zwrócił się do Symanteca o cofnięcie ważności skradzionych certyfikatów.

Na blogu Kaspersky Lab czytamy, że odkryte złośliwe oprogramowanie to trojan dropper (instaluje na komputerze inne złośliwe programy). Występuje w dwóch wersja - Trojan-Dropper.Win32.Mediyes i Trojan-Dropper.Win64.Mediyes, które atakują odpowiednio 32 i 64-bitowe systemy Windows. Pierwszy z nich został wykryty na około 5 000 komputerów, głównie w zachodniej Europie.

Trojan Mediyes był wykrywany pomiędzy grudniem 2011 roku i 7 marcem 2012 roku. We wszystkich przypadkach dysponował certyfikatem wydanym przez Symanteca szwajcarskiej firmie Conpavi. Na blogu Kaspersky Lab czytam, że celem trojana było przechwytywanie interakcji użytkowników z wyszukiwarkami Google, Yahoo! i Bing.

W odpowiedzi na nie, za pomocą serwera w Niemczech, przesyłano użytkownikom linki do programu partnerskiego Search123. Były one automatycznie klikane bez wiedzy użytkownika i właśnie o to chodziło napastnikom, którzy w ramach systemu Search 123 zarabiali za każde kliknięcie.

Zobacz też: Chcieli zrobić DDoS razem z Anonymous, złapali groźnego trojana

Wiaczesła Zakorzewski z Kaspersky Lab mówi, że trojan ten był skierowany do użytkowników w Europie Zachodniej. Potwierdzać to ma fakt, że certyfikaty, z których korzystał były wydane szwajcarskiej firmie, a serwer używany przez przestępców został zlokalizowanych w Niemczech. Również w tym kraju odkryto najwięcej infekcji trojanem Mediyes. Źródło infekcji nie jest jeszcze dobrze poznane.

Firma Symantec została już poinformowana o tym, że jej certyfikaty są wykorzystywane podczas nielegalnego procederu i poproszona o cofnięcie ich ważności

_____

Źródło grafiki: SecureList.com