2018年07月30日 星期一

黑客在PDF字體文件中植入惡意軟件 供應鏈攻擊凸顯

近期,微軟在PDF軟件供應商處發現了供應鏈攻擊,黑客破壞了PDF編輯器應用程序安裝的字體包,並用它在用戶的計算機上部署加密貨幣礦工。好在該廠商規模小,沒造成大的損失;但是使用軟件供應鏈作為威脅載體的攻擊頻率不斷上升,同時越來越多地使用加密貨幣礦工作為惡意軟件活動貨幣化的主要手段。

微軟員工稱他們調查了收到的警報,並確定黑客破壞了提供字體包作為MSI文件的軟件公司的雲服務器基礎設施。這些MSI文件提供給其他軟件公司。其中一家下游公司正在將這些字體包用於其PDF編輯器應用程序,該應用程序將在編輯器的安裝例程中從原始公司的雲服務器下載MSI文件。
      黑客創建了該公司雲服務器的副本:
“攻擊者在攻擊者擁有和控制的副本服務器上重建了[第一家公司]的基礎設施。他們複製並託管所有MSI文件,包括所有清潔和數字簽名的字體包,在副本服務器中,攻擊者反編譯並修改了一個MSI文件,一個亞洲字體包,用貨幣挖掘代碼添加惡意有效載荷,使用未指定的弱點(似乎不是MITM或DNS劫持),攻擊者能夠影響[PDF編輯器]應用程序使用的下載參數。參數包括指向攻擊者服務器的新下載鏈接, “
      下載並運行PDF編輯器應用程序的用戶將無意中從黑客的克隆服務器安裝字體軟件包,包括惡意軟件包。

更多資訊,請查看原文:

www.365master.com/news/3/20180730/80698.shtml

 

 

 

2018年07月30日 星期一