Это позволяет обойти меры безопасности, избежать подозрений с помощью системных предупреждений и смешаться с законным программным обеспечением и трафиком.

Связанная с Китаем группа хакеров Bronze Starlight использует в атаках вредоносное ПО, которое прикидывается VPN, сообщает bleepingcomputer. 

Хакеры используют украденный сертификат цифровой подписи кода у провайдера VPN Ivacy. Этот сертификат позволяет злоумышленникам подписывать свои вредоносные программы, делая их похожими на официальные установщики VPN.

Кража такого сертификата предоставляет злоумышленникам доступ к конфиденциальным данным и коммуникации пользователей, что делает провайдеры VPN привлекательными целями для атак. 

Атаки начинаются с того, что исполняемые файлы .NET (agentupdate_plugins.exe и AdventureQuest.exe) перетаскиваются в целевую систему. Возможно, это происходит через троянизированные чат-приложения, которые извлекают защищенные паролем ZIP-архивы из корзин Alibaba.

В мае исследователь кибербезопасности MalwareHunterteam обнаружил образец вредоносного программного обеспечения с названием AdventureQuest.exe. Он отметил, что сертификат подписи этого вредоносного кода совпадает с сертификатом, используемым для официальных установщиков Ivacy VPN.