Microsoft afferma di aver smantellato un servizio di firma di malware (MSaaS) denominato Fox Tempest, che aiutava i criminali informatici a far sembrare legittimo il malware.
Il servizio consentiva ai clienti di inviare file dannosi affinché fossero firmati digitalmente con certificati a breve durata emessi da Microsoft, facendo apparire il malware come legittimo e aumentando così le probabilità che superasse i controlli di sicurezza.
Il servizio di Fox Tempest era incentrato su un flusso di lavoro di firma rivolto ai clienti, grazie al quale i criminali informatici potevano caricare file binari dannosi su un portale, farli firmare con certificati validi solo per 72 ore e ricevere quindi file che sembravano provenire da una fonte software affidabile.
Microsoft afferma esplicitamente che questo approccio ha consentito al malware di eludere i controlli di sicurezza e aggirare le difese che altrimenti avrebbero segnalato il codice sospetto non firmato. Molti strumenti di sicurezza considerano i file binari firmati più affidabili di quelli non firmati, specialmente in ambienti che si basano su liste di autorizzazione e sulla reputazione dell'editore. Fox Tempest ha sfruttato tale presupposto utilizzando certificati ottenuti in modo fraudolento per far passare il malware come software legittimo, aumentando così le probabilità di esecuzione e di successo nella distribuzione.
Un certificato dall'aspetto affidabile può aiutare il malware a superare i controlli iniziali, specialmente se abbinato a tecniche di ingegneria sociale, annunci a pagamento, SEO poisoning o download fasulle. In questa campagna, il livello di firma ha permesso a programmi di installazione dannosi di spacciarsi per prodotti come AnyDesk, Teams, PuTTY e Webex: si tratta proprio del tipo di abuso in grado di eludere i sistemi di controllo basati sulla reputazione e sull'affidabilità.
I certificati contraffatti sono stati utilizzati per diffondere ransomware e programmi di furto di dati. L'impatto di queste campagne di malware è stato ampio, con attacchi che hanno colpito i settori sanitario, dell'istruzione, pubblico e dei servizi finanziari in diversi paesi.
Come stare al sicuro
I dati resi noti da Microsoft dimostrano come la criminalità informatica si sia evoluta, passando dai semplici «autori di malware» a un'economia dei servizi in cui un gruppo si specializza nel creare fiducia e altri la monetizzano.
Per i responsabili della sicurezza, la lezione più importante è quella di non considerare la firma del codice come un controllo di sicurezza a sé stante.
Per i consumatori:
- Ricordati di download solo dal sito ufficiale del produttore, dal Microsoft Store o da altre fonti di cui ti fidi già. Evita download presenti nei link inviati tramite post sui social media, messaggi diretti o e-mail.
- Diffidate dei risultati di ricerca “sponsorizzati” e delle pubblicità relative alle app più popolari.
- Utilizza una soluzione anti-malware aggiornata e in tempo reale che rilevi i comportamenti dannosi anziché limitarsi alle sole firme.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
