Legitim tanúsítványokat használnak malware támadásokhoz

A támadók széles körben alkalmazzák a káros kódok digitális tanúsítványokkal történő hitelesítését, ami megnehezíti a vírusirtó szoftverek számára a detektálást és használatuk hozzájárulhat az operációs rendszerek és a hálózati eszközök védelmi funkcióinak megkerüléséhez. A Recorded Future kutatói felfedezték, hogy bár a kiberbűnözők jellemzően még mindig inkább a lopott tanúsítványokat részesítik előnyben, az utóbbi években néhány feketepiaci szereplő már legitim módon kiállított alkalmazás aláíró tanúsítványokat hirdet, valamint domain név regisztráció mellé SSL tanúsítványt is kínál. Az egyik első ilyen szolgáltató, a „C@T” nevű szervezet már 2015 óta végez ilyen jellegű tevékenységet, sőt reklámjukban azt is elmagyarázzák, hogy a tanúsítványokat legális tanúsító hatóságtól (Certificate Authority) – Comodo, Thawte, Symantec – szerzik be, melyek teljesen egyediek és csak egy vásárló számára kerülnek kiállításra, amit akár le is ellenőrizhet az érintett. Az eljárás hatékonyságának demonstrálására a kutatók sikeresen képesek voltak egy korábban még be nem jelentett trójai programot egy valós Comodo tanúsítvány birtokában aláíratni egy CA-val, amelyet követően a VirusTotal oldalon az észlelési arány 8-ról 2-re csökkent. A vizsgálatról készített összefoglalóban azonban kiemelik, hogy a tanúsító szervezetek vélhetően nincsenek tisztában azzal, hogy az általuk kiadott tanúsítványokat káros tevékenységekhez is használják.