Skip to main content

Program Bogus AV wykorzystuje 12 skradzionych certyfikatów cyfrowych, aby złośliwe oprogramowanie wyglądało na legalne

Fałszywy program antywirusowy w obiegu używa co najmniej tuzina skradzionych certyfikatów do cyfrowego podpisywania kodu, co oznacza, że ​​cyberprzestępcy coraz częściej naruszają sieci twórców oprogramowania, napisał Microsoft w niedzielę.

Aplikacja oznaczona jako "Antivirus Security Pro" został po raz pierwszy wykryty w 2009 roku i przez lata był używany przez wiele innych nazw, zgodnie z zaleceniami Microsoft, które nazywają je pojedynczą nazwą "Win32 / Winwebsec."

Certyfikaty cyfrowe, wydawane przez urzędy certyfikacji (CA), są wykorzystywane przez programistów do "podpisywania" programów komputerowych, które mogą być sprawdzane kryptograficznie w celu sprawdzenia, czy program nie został zmodyfikowany i pochodzi z programu r, który twierdzi, że to pisze.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Jeśli haker uzyska dane uwierzytelniające do korzystania z certyfikatu, może podpisać własne programy, co sprawia, że aplikacje pochodzą od legalnego programisty.

Zrzut ekranu, blog Microsoftu

To pułapka! (Kliknij, aby powiększyć.)

Próbki programu Antivirus Security Pro zebrane przez firmę Microsoft wykorzystały skradzione certyfikaty wydane "przez wiele różnych ośrodków certyfikacji programistom w różnych lokalizacjach na całym świecie" - napisała firma.

wydane deweloperom w Holandii, USA, Rosji, Niemczech, Kanadzie i Wielkiej Brytanii przez urzędy certyfikacji, takie jak VeriSign, Comodo, Thawte i DigiCert, zgodnie z wykresem.

Używanie skradzionych certyfikatów nie jest nową taktyką, ale zazwyczaj uznano za trudne do osiągnięcia, ponieważ hakerzy muszą albo naruszyć organizację, albo podmiot, który wydaje certyfikaty.

Jeden z certyfikatów został wydany zaledwie trzy dni przed tym, jak Microsoft pobrał próbki programu Antivirus Security Pro z użyciem go, wskazując, że "dystrybutorzy złośliwego oprogramowania regularnie kradną nowe certyfikaty, zamiast używać certyfikatów ze starszych zapasów. "

Microsoft zauważył, że inny fałszywy program antywirusowy, który nazywa się" Win32 / FakePav ", również zmienia się certyfikaty olen.

Win32 / FakePav przeszedł przez ponad 30 innych nazw od czasu wykrycia w 2010 roku. W początkowych latach nie korzystał z żadnych certyfikatów do podpisywania. Szkodliwe oprogramowanie było nieaktywne przez ponad rok, dopóki nie odkryto niedawno nowych próbek, które używały certyfikatu, który został zastąpiony po kilku dniach innym. Oba certyfikaty zostały wydane pod tą samą nazwą, ale przez różne urzędy certyfikacji, napisał Microsoft.

Aby zapobiec problemom, programiści powinni zadbać o ochronę kluczy prywatnych używanych do podpisywania kodu na bezpiecznych urządzeniach sprzętowych, takich jak karty inteligentne, USB tokeny lub sprzętowe moduły bezpieczeństwa. Jeśli zostanie stwierdzone, że certyfikat został naruszony, urzędy certyfikacji mogą je unieważnić.

"Nie tylko niewygodne i często kosztowne jest zastąpienie certyfikatu, ale może to również skutkować utratą reputacji firmy, jeśli jest ona używana oznaczyć złośliwe oprogramowanie "- napisała firma.