Microsoft zegt dat het een 'malware-signing-as-a-service' (MSaaS) met de naam Fox Tempest heeft ontmanteld, waarmee cybercriminelen malware een legitieme uitstraling konden geven.
Via deze dienst konden klanten schadelijke bestanden indienen om digitaal te laten ondertekenen met door Microsoft uitgegeven certificaten met een korte geldigheidsduur, waardoor de malware legitiem leek en de kans groter was dat deze de beveiligingscontroles zou omzeilen.
De dienst van Fox Tempest was opgezet rond een klantgerichte ondertekeningsworkflow waarbij cybercriminelen schadelijke binaire bestanden naar een portaal konden uploaden, deze konden laten ondertekenen met certificaten die slechts 72 uur geldig waren, en vervolgens bestanden ontvingen die leken afkomstig te zijn van een betrouwbare softwarebron.
Microsoft stelt expliciet dat deze aanpak malware in staat stelde beveiligingscontroles te omzeilen en verdedigingsmechanismen te omzeilen die anders verdachte, niet-ondertekende code zouden signaleren. Veel beveiligingstools beschouwen ondertekende binaire bestanden als betrouwbaarder dan niet-ondertekende, met name in omgevingen die gebruikmaken van toelatingslijsten en de reputatie van uitgevers. Fox Tempest maakte misbruik van die aanname door frauduleus verkregen certificaten te gebruiken om malware te laten doorgaan voor legitieme software, waardoor de kans op uitvoering en succesvolle verspreiding toenam.
Een certificaat dat er betrouwbaar uitziet, kan malware helpen om de eerste controles te omzeilen, vooral in combinatie met social engineering, betaalde advertenties, SEO-vergiftiging of valse downloadpagina’s. In deze campagne zorgde de ondertekeningslaag ervoor dat kwaadaardige installatieprogramma’s zich konden voordoen als producten als AnyDesk, Teams, PuTTY en Webex. Dit is precies het soort misbruik dat door controlemechanismen kan glippen die zijn gebaseerd op reputatie en vertrouwen.
De valse certificaten werden gebruikt om ransomware en infostealers te verspreiden. De gevolgen van deze malwarecampagnes waren groot: de aanvallen troffen de gezondheidszorg, het onderwijs, de overheid en de financiële sector in verschillende landen.
Hoe blijf ik veilig
Uit de onthullingen van Microsoft blijkt hoe cybercriminaliteit zich heeft ontwikkeld van ‘malware-ontwikkelaars’ tot een diensteneconomie waarin de ene groep zich specialiseert in het creëren van vertrouwen en de andere groep daar geld mee verdient.
Voor beveiligingsspecialisten is de belangrijkste les dat ze het ondertekenen van code niet als een op zichzelf staande beveiligingsmaatregel moeten beschouwen.
Voor consumenten:
- Zorg ervoor dat je software alleen downloadt via de officiële website van de leverancier, de Microsoft Store of een andere bron die je vertrouwt. Klik niet op downloadknoppen in links die je via posts op sociale media, privéberichten of e-mail ontvangt.
- Wees op je hoede voor ‘gesponsorde’ zoekresultaten en advertenties voor populaire apps.
- Gebruik een up-to-date, realtime anti-malwareoplossing die op zoek gaat naar schadelijk gedrag in plaats van alleen naar handtekeningen.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
