Firma Microsoft poinformowała, że zlikwidowała platformę typu „malware-signing-as-a-service” (MSaaS) o nazwie Fox Tempest, która pomagała cyberprzestępcom w nadawaniu złośliwemu oprogramowaniu pozorów legalności.
Usługa ta umożliwiała klientom przesyłanie złośliwych plików w celu ich cyfrowego podpisania za pomocą krótkoterminowych certyfikatów wydanych przez firmę Microsoft, dzięki czemu złośliwe oprogramowanie wyglądało na legalne i miało większe szanse na ominięcie kontroli bezpieczeństwa.
Usługa Fox Tempest została oparta na procesie podpisywania plików przeznaczonym dla klientów, w ramach którego cyberprzestępcy mogli przesyłać złośliwe pliki binarne na portal, podpisywać je certyfikatami ważnymi tylko przez 72 godziny, a następnie otrzymywać pliki, które wyglądały, jakby pochodziły z zaufanego źródła oprogramowania.
Firma Microsoft wyraźnie stwierdza, że takie podejście umożliwiło złośliwemu oprogramowaniu ominięcie mechanizmów bezpieczeństwa i obejście zabezpieczeń, które w innym przypadku zasygnalizowałyby podejrzany, niepodpisany kod. Wiele narzędzi zabezpieczających traktuje podpisane pliki binarne jako bardziej wiarygodne niż niepodpisane, zwłaszcza w środowiskach opartych na listach dozwolonych i reputacji wydawcy. Fox Tempest wykorzystał to założenie, stosując certyfikaty uzyskane w nieuczciwy sposób, aby złośliwe oprogramowanie wyglądało jak legalne oprogramowanie, zwiększając tym samym prawdopodobieństwo jego uruchomienia i skutecznego dostarczenia.
Certyfikat budzący zaufanie może pomóc złośliwemu oprogramowaniu ominąć wstępną kontrolę, zwłaszcza w połączeniu z technikami socjotechnicznymi, płatnymi reklamami, manipulacją wyników wyszukiwania (SEO poisoning) lub fałszywymi stronami pobierania. W tej kampanii warstwa certyfikacji pomogła złośliwym instalatorom podszywać się pod produkty takie jak AnyDesk, Teams, PuTTY i Webex – a właśnie tego rodzaju nadużycia mogą umknąć systemom kontroli opartym na reputacji i zaufaniu.
Fałszywe certyfikaty wykorzystywano do rozprzestrzeniania oprogramowania typu ransomware oraz programów wykradających dane. Skutki tych kampanii złośliwego oprogramowania były rozległe – ataki dotknęły sektor opieki zdrowotnej, edukacji, administracji publicznej oraz usług finansowych w wielu krajach.
Jak zachować bezpieczeństwo
Z ujawnionych przez Microsoft informacji wynika, że cyberprzestępczość wykroczyła poza ramy działalności „twórców złośliwego oprogramowania” i przekształciła się w gospodarkę usługową, w której jedna grupa specjalizuje się w budowaniu zaufania, a inne czerpią z tego zyski.
Dla osób odpowiedzialnych za bezpieczeństwo najważniejszą lekcją jest to, by nie traktować podpisywania kodu jako samodzielnego środka zabezpieczającego.
Dla konsumentów:
- Pamiętaj, aby pobierać oprogramowanie wyłącznie z oficjalnej strony producenta, ze sklepu Microsoft Store lub z innego zaufanego źródła. Unikaj przycisków pobierania w linkach przesyłanych w postach w mediach społecznościowych, wiadomościach prywatnych lub e-mailach.
- Podchodź sceptycznie do „sponsorowanych” wyników wyszukiwania i reklam popularnych aplikacji.
- Korzystaj z aktualnego oprogramowania antywirusowego działającego w czasie rzeczywistym, które wykrywa złośliwe działania, a nie tylko opiera się na sygnaturach.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
