Grup Threat Analysis milik Google baru-baru ini menemukan jenis malware yang mengeksploitasi metode baru untuk menghindari deteksi oleh produk keamanan, dan malware ini dengan mudah memodifikasi tanda tangan digital filenya.
Tanda tangan kode yang ada pada file executable Windows memberikan jaminan mengenai integritas executable yang dikonfirmasi, menyediakan data dan memberi tahu identitas sebenarnya dari pembuat kode.
Pelaku ancaman dapat menghindari deteksi jika mereka mampu menyamarkan identitas mereka dalam tanda tangan pada proses penyerangan integritas tanda tangan.
Neel Mehta salah satu peneliti keamanan yang mendeteksi malware tersebut mengklaim metode ini digunakan oleh strain adware yang disebut OpenSUpdater.
OpenSUpdater adalah keluarga malware yang sangat terkenal, dan mereka terkenal dengan perangkat lunak yang tidak diinginkan yang umumnya melanggar kebijakan Google.
Sampel OpenSUpdater telah memberikan tanda tangan yang tidak valid, dan penelitian tambahan menunjukkan bahwa ini adalah upaya yang disengaja untuk menghindari deteksi.
Namun, produk keamanan menggunakan OpenSSL untuk mengambil data tanda tangan, dan kemudian akan menolak pengkodean ini sebagai tidak valid. Dan untuk parser yang mengotorisasi pengkodean ini, tanda tangan digital biner akan menyerupai sah dan efisien.
Selengkapnya: Cyber Security News
