Новую вредоносную программу, которая использует действительный сертификат, обнаружила компания Elastic Security, 23 декабря сообщает пресс-служба компании.

Согласно компании, загрузчик подписан действующим сертификатом, который удостоверяющий центр Sectigo выдал компании Blist LLC 15 сентября 2021 года. По названию компании вредонос и назвали Blister. Среди информации о владельце сертификата имеется адрес электронной почты, которая расположена на одном из доменов Mail.ru.

Сам зловредный код очень хорошо обфусцирован. Так, код загружается в составе одной из обычных системных библиотек. При этом вирус запускается только через 10 минут после загрузки, что усложняет его обнаружение в тестовых средах.

По истечении 10 минут вредоносных код декодируется и загружается в один из процессов. После этого он открывает удаленный доступ, распространяется по локальной сети и записывает свои копии в разные места операционной системы.

Исследователи, обнаружившие вредонос, уже отправили в Sectigo запрос на отзыв сертификата. Это поможет в борьбе с Blister.