Компанія Elastic Security, що спеціалізується на питаннях кібербезпеки, виявила масову атаку шкідливого ПЗ, в якій використовується сертифікат підпису та інші методи, що дозволяють йому залишатися непоміченим для антивірусів. Шкідливість підписана дійсним сертифікатом від 15 вересня 2021 року, виданим центром Sectigo, що засвідчує, на компанію Blist LLC — тому завантажувач отримав назву Blister. Зазначається, що дані власника сертифіката вказано адресу електронної пошти одному з доменів, що належать Mail.ru.
Завантажувач проникає в систему під виглядом звичайних бібліотек на зразок colorui.dll і виконується через Rundll32. Опинившись у системі, він на 10 хвилин перериває роботу та переходить у режим очікування — експерти впевнені, що це допомагає йому оминути аналіз пісочниці. Далі декодується корисне навантаження, яке завантажується в один з процесів і робить все інше: відкриває віддалений доступ до системи, поширюється локальною мережею, зберігає свої копії в системній папці ProgramData і маскується під rundll32.exe. На додачу шкідливість додається до автозапуску і завантажується при кожному старті ОС.
Дослідники вже повідомили Sectigo і попросили відкликати сертифікат – це прискорить боротьбу з Blister. Але поки що завантажувач залишається з незначним або нульовим виявленням на VirusTotal. Джерело