Киберпреступники семь лет обманывали системы доверия: разоблачена схема злоупотребления код-сайнинг сертификатами в группе BaoLoader

Особенностью группы стало активное использование сертификатов из Панамы и Малайзии - среди 1500 задокументированных случаев злоупотреблений в базе CertCentral.org только эти акторы применяли сертификаты из данных стран. Кроме того, они последовательно получали сертификаты на медийные компании, часто через нескольких поставщиков (Certificate Authorities), что нетипично для рынка перепродажи сертификатов и указывает на прямые контакты с удостоверяющими центрами.

Аналитики подчеркивают, что хотя подписанное ПО долгое время классифицировалось как «потенциально нежелательное» (PUP), его связь с мошенническими схемами и скрытыми бэкдорами требует пересмотра угрозы. BaoLoader отличается как от Chromeloader (различия в географии сертификатов и тактиках), так и от TamperedChef - ошибочно приписываемого названия, связанного с вредоносными программами-кулинарными помощниками.

Кампания развивалась с 2018 года: от распространения переподписанного Web Companion через фиктивные компании вроде Eclipse Media Inc. до текущих кампаний с PDF-редакторами. Злоумышленники постоянно адаптировались - после отзыва сертификатов для Apollo Technologies Inc. они зарегистрировали в США компанию Onestart Technologies LLC для получения новых удостоверений.

Важный аспект - использование одинаковых шаблонов нумерации версий (-vX.X.XXXX.X) across всеми продуктами, что помогло исследователям связать разрозненные кампании. Кроме PDF-инструментов, группа распространяла вредоносные программы под видом игр и утилит, используя такие имена как EmuWCOfferSetup и Launch Browser.

Для защитников ключевой индикатор - несоответствие между заявленной функциональностью ПО, метаданными и поведением. Рекомендуется усилить мониторинг код-сайнинг сертификатов, особенно выпущенных для медийных компаний в Панаме и Малайзии, и внедрить whitelisting-решения типа AppLocker для блокировки нежелательного ПО.

Отзывы сертификатов поставщиками вроде SSL.com, GlobalSign и DigiCert подтверждают: индустрия знает о проблеме, но акторы продолжают обходить системы проверки. Осведомленность о таких схемах критична для проактивного обнаружения угроз, особенно когда антивирусные решения запаздывают с детектированием.

SHA256

• 046d27a6097283c2619ead410201807eb5b85c4b48b50a9e49eef422a8c3b865
• 099c77409d23507d65ee7783575c77c4eeee86cd35b9338ac6fcdfef894ad472
• 10acb7208a455b07940336a489f7c3cf34904f887b1f8904f5bff54569963f0b
• 1619bcad3785be31ac2fdee0ab91392d08d9392032246e42673c3cb8964d4cb7
• 162e65e8e74ed4637184a827629636f0c687c008e0937537fe32ca85ab21bd71
• 2eace7cf97b21c58dc7dc731911c5258479661275e9a6f43870a6117694b0c82
• 3276154a7f2ea64e43cf6dbec33bfb20ee0d46b2ca03d5d0c7f51ec803f7101d
• 34c12da57921ab46ae9f06b321b3d47cc41d7bcb66d6635e3db58d3f6e7c4156
• 35ab1c46e0341e6cda9ba1db61e8d8c0496df90ee758ed02d15f564a62b35da8
• 3a3511aa0c7e42daa2b6467bdd6fd2006605c6a72667300ee3740df930be51d2
• 3c702aa9c7e0f2e6557f3f4ac129afd2ad4cfa2b027d6f4a357c02d4185359c4
• 430c783801d2e30c314c76f379ed28f98c540f530f309a95c542ae68043d78b1
• 45fb5807dc1f88cb65dbfe611028ad09f1e85ab0ab244a1f691408c063851cc1
• 469960964daf6666231f379604cb0cbd536b277bdb595c7ded9e8147278ba5ea
• 492193072be8c959112abd720360cedb24f564f27c375bf57346030b78b4db96
• 5bff84ba6e59086ca5ae880f0f299b59bc222a1e85f57ef620d5f725fc398ff8
• 66334de2175a0b85e2cba42189312af23497605489607e3952121ed223b2c0af
• 6adbdd262a335eb59c55ca1c8b21efc1cc5a8bf0f8f5662e78fd9f00141feed1
• 6b6fc62a294d5ef1c619d623f1cf6d735d9f191df9ef5c745b0881b1e01b8565
• 6dfd5793fa84f54be855ad4bd16bf561e6c80699527ba40e9d50ca6cd27b7768
• 7022b6b2caa7ecfc1a9575b74cce793336fc5fe4571955b1240716d9ab4b9e84
• 7025ec177a7df0ceca69d9e1f145c1889e39c0d7c32feeda4cb9c3a6a47e33f9
• 7857a4020d08ec40f254847a9768da0432b0da6c90c7f18c68c05e0cfd0cec0b
• 7ba95a9470697f33c5bd4e047253c2df035aedb96856126642af89c348bf3652
• 84781fa57f2c01eee0e0160734019bde86c212bbaab7fce9241f84e07cee11d6
• 8dfb2197e19e9dfa09cd38bc039702cf4ea7df0c4f7c16fa5df80ba2e8267b92
• 98bb0ab170efdf98414114d6c14a047d2144730f3552bb4aea36198fc49083ac
• 9dc1b05b8fc53c84839164e82200c5d484b65eeba25b246777fa324869487140
• a1a42a82e51d2278d38370f23524d2a715bb511312722428b4bc7f817a5532ea
• aad5be480738f546f7538f70463f4144bb5654cf74bbf99aa9b5b2917164cbb4
• b0c321d6e2fc5d4e819cb871319c70d253c3bf6f9a9966a5d0f95600a19c0983
• bbee7d6beb0b1fc2f19bbda5a0765c00af7ec16642f7b4ad6f7bc8f6d43a2cc7
• c0dea5039c67a46462116a345b39e3953f89b87f395b537b2a8be0e3f2b4f8bd
• c4f0b51308eb02c20e9bb33df80442b85b0cc0ad3ccf2598546d67c49242d506
• c826b208e30168a7ccf9fb34a18927d60c6a4686bc5e84076216217ee9d7d3fb
• d0838244e7ebd0b4bd7d7486745346af6b9b3509e9a79b2526dcfea9d83c6b74
• d8bff72de51213510004a2652b9e31b48a25e2eb0d7184fab4ef9014fc85e145
• db4d49ca1adca1248124c20c0762875cafa8a6ce85a19332b17aff9c5200a291
• e06c05b3e19e78108a4f4174219862c4680dd1ee4b5dbef18b9295fc846eda98
• e1d6ea166a0a09b4af4f697a0a88ff8b638f7f1738b0a5fa14f43bdf8e85739e
• e27d911a785d3c22a2c023cc41b2862f15d08d2301856b33fe9a51e39398d418
• e505e4bc6c76f8ccd1d626832d1d5d5d2852a5c78016c43bdc2f502af6e40396
• fbc7ffc5bdda978afe0f20910210752d91762b97d6d7719a5b3a1e352a4717c3
• fd7912de8df0ae262d77df294db71a5fcd7abeb2895214fa4f06edd6f54cce42
• fe30b6b149d8a7e5da77faa6a6f36ce78132b682fde4f48fc77939de870bbabc