Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Правила ASR остановили вредоносную рекламу с подписанными сертификатами

3 мин
Недавняя кампания malvertising выявила растущую сложность современных киберугроз: злоумышленники применили сочетание SEO-манипуляций, автоматических перенаправлений и действительных code signing certificates, чтобы обойти традиционные механизмы защиты и быстро доставить вредоносное ПО. Инцидент начался 25 сентября 2025 года, когда правила Microsoft Defender по уменьшению поверхности атаки (ASR) сработали и зафиксировали подозрительные исходящие подключения из недавно запущенного файла. Сигнал от правил Microsoft Defender ASR стал отправной точкой. Предупреждение о нетипичных исходящих подключениях инициировало углублённый анализ, который вскрыл тщательно спланированную цепочку компрометации. Расследование показало, что злоумышленники использовали легитимные результаты поисковой выдачи для начала атаки, перенаправляя трафик на вредоносные ресурсы. По мере расследования стало ясно, что доставляемое вредоносное ПО было подписано действительным code signing certificates. Это тактика, котор
Оглавление
Источник: conscia.com
Источник: conscia.com

Недавняя кампания malvertising выявила растущую сложность современных киберугроз: злоумышленники применили сочетание SEO-манипуляций, автоматических перенаправлений и действительных code signing certificates, чтобы обойти традиционные механизмы защиты и быстро доставить вредоносное ПО. Инцидент начался 25 сентября 2025 года, когда правила Microsoft Defender по уменьшению поверхности атаки (ASR) сработали и зафиксировали подозрительные исходящие подключения из недавно запущенного файла.

Как началось расследование

Сигнал от правил Microsoft Defender ASR стал отправной точкой. Предупреждение о нетипичных исходящих подключениях инициировало углублённый анализ, который вскрыл тщательно спланированную цепочку компрометации. Расследование показало, что злоумышленники использовали легитимные результаты поисковой выдачи для начала атаки, перенаправляя трафик на вредоносные ресурсы.

Механизм атаки

  • Злоумышленники применяли SEO-манипуляции для продвижения вредоносных страниц в результатах поиска.
  • Пользователи, попадавшие на эти легитимно выглядящие результаты, в течение ~11 секунд оказывались автоматически перенаправлены на вредоносные сайты — характерный признак использования автоматизированного перенаправления в рамках malvertising.
  • Такая скорость перехода указывает на отсутствие необходимости во взаимодействии пользователя и на целевой автоматизированный процесс компрометации.

Использование действительных сертификатов

По мере расследования стало ясно, что доставляемое вредоносное ПО было подписано действительным code signing certificates. Это тактика, которая становится всё более распространённой: с помощью подписанных бинарников злоумышленники пытаются снизить подозрительность поведения и обойти системы, ориентированные на сигнатуры и доверенные цепочки подписи.

Такое злоупотребление сертификатами, особенно с коротким сроком действия, создает серьёзную проблему для традиционных антивирусных решений, которые в основном ориентируются на сигнатурные методы обнаружения.

Идентификация вредоносного семейства и потенциальные последствия

Аналитики обнаружили признаки, указывающие на вариант бэкдора Oyster (известного также как Broomstick или CleanUpLoader). Наличие такого функционально опасного бэкдора подчёркивает потенциал значительного ущерба, если бы кампания не была перехвачена правилом ASR.

«ASR доказала свою эффективность в предотвращении этой изощрённой атаки», — отметили исследователи в отчёте.

Ключевые выводы

  • Злоумышленники быстро адаптируются, сочетая легитимные механизмы (SEO, подписанные бинарники) с автоматизированными перенаправлениями для обхода детектирования.
  • Code signing certificates всё чаще используются как инструмент доверия злоумышленников и должны рассматриваться как потенциальный вектор обхода безопасности.
  • Политики ASR и другие механизмы уменьшения поверхности атаки остаются критически важными: именно они позволили вовремя зафиксировать и остановить цепочку компрометации.

Рекомендации

  • Поддерживать и регулярно тонко настраивать правила ASR и аналогичные политики предотвращения исполнения.
  • Внедрять мониторинг аномалий исходящего трафика и подозрительных автоматических переходов с веб-страниц.
  • Анализировать и отслеживать использование code signing certificates, включая проверку происхождения сертификатов и их срока действия.
  • Учитывать поведенческие методы обнаружения, а не полагаться только на сигнатурные решения.

Инцидент служит напоминанием: современные кампании malvertising становятся всё более изощрёнными, и защита требует комбинированного подхода — технических политик, поведенческого мониторинга и внимательной проверки доверенных атрибутов, таких как подписи кода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Правила ASR остановили вредоносную рекламу с подписанными сертификатами".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Безопасность и правопорядок
95,2 тыс интересуются