image

Maleisische overheid signeert PDF-malware

maandag 14 november 2011, 16:33 door Redactie, 4 reacties

Aanvallers hebben een officiële sleutel van de Maleisische overheid bemachtigd en gebruikt voor het signeren van malware. Een ongesigneerde Windows applicatie waarschuwt Windows-gebruikers als het bestand wordt geopend, maar bij een gesigneerde applicatie verschijnt deze waarschuwing niet. Onlangs vond het Finse F-Secure een malware-exemplaar dat met een gestolen certificaat gesigneerd was. Het certificaat stond op naam van Adobe Systems en was gesigneerd door mardi.gov.my, dat onderdeel van de Maleisische overheid is.

De virusbestrijder nam contact op met de autoriteiten en kreeg te horen dat het certificaat "vrij lang geleden" was gestolen. De malware zelf verspreidt zich via kwaadaardige PDF-bestanden en misbruikt een lek in Adobe Reader 8. Vervolgens wordt er van het domein worldnewsmagazines.org aanvullende malware gedownload, waarvan ook verschillende bestanden gesigneerd waren, dit keer door een entiteit genaamd www.esupplychain.com.tw.

"Gesigneerde malware komt niet zo vaak voor. Het is zelfs nog bijzonderder dat het met een officiële overheidssleutel is gesigneerd", zegt Mikko Hypponenen van het Finse F-Secure. Aanvallers zouden geen voordeel van het certificaat hebben, aangezien dat eind september verliep.

Reacties (4)
14-11-2011, 18:26 door [Account Verwijderd]
[Verwijderd]
14-11-2011, 22:11 door spatieman
jaja, DIE overheid zal wel de boosdoener zijn....
15-11-2011, 08:01 door sjonniev
Uiteraard zit onze overheid ook hartstikke fout als ze nog steeds denkt dat je kunt volstaan met een papieren onderzoek door een accountantskantoor, bij het auditen van certificatenboeren. Ik hoop dat ze van het Diginotardrama geleerd heeft.
08-12-2011, 10:03 door faridje
Er moet toch wel iets aan de koppen gedaan worden van nieuwsberichten. De maleisische overheid heeft niets getekend, het certificaat was gestolen, punt. Ik las net ook al zo'n vreemde kop: "Adobe Reader X immuun voor malware" :S
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.