Автоматические обновления ПО устанавливают зловред. Занимательный кейс опубликовали эксперты компании Volexity. Допустим у вас есть какое-то ПО на хосте. Оно периодически лезет в инет проверять обновления и потом устанавливает их… И вместо обновления вам устанавливается зловред. 😱👾

И нет, это не кейс про скомпрометированный сайт вендора ПО, с ним всё в порядке. 🙂

Для получения такого результаты злодеи из StormBamboo проводили DNS poisoning атаку на уровне интернет-провайдера (ISP). Злоумышленники изменяли ответы на DNS-запросы для определенных доменов. Соответственно "обновление" подгружалось с IP-адресов злодеев. 😈

Естественно, для того чтобы финт сработал ПО должно использовать небезопасные механизмы обновления: соединяться по HTTP, не проверять цифровые подписи инсталлера и т.п. Но такого ПО, хватает. 🤷‍♂️ Volexity фиксировали атаку через обновление медиа-плеера 5KPlayer. Жертвам устанавливали малвари MACMA и POCOSTICK / MGBot.