Skip to main content

Das Bogus AV-Programm verwendet 12 gestohlene digitale Zertifikate, um die Malware korrekt aussehen zu lassen.

Ein gefälschtes Antivirus-Programm im Umlauf nutzt mindestens ein Dutzend gestohlener digitaler Code-Signing-Zertifikate, was darauf hindeutet, dass Cyberkriminelle zunehmend die Netzwerke von Softwareentwicklern durchbrechen, schrieb Microsoft am Sonntag.

Die Anwendung, gebrandmarkt als "Antivirus Security Pro" wurde zum ersten Mal im Jahr 2009 entdeckt und ist im Laufe der Jahre von einer Handvoll anderer Namen abgelöst worden, laut einem Microsoft-Advisory, das es unter einem einzigen Namen "Win32 / Winwebsec" nennt.

Digitale Zertifikate, Zertifikate, die von Zertifizierungsstellen ausgestellt werden, werden von Entwicklern verwendet, um Softwareprogramme zu "signieren", die kryptographisch überprüft werden können, um zu verifizieren, dass ein Programm nicht manipuliert wurde und von der Entwicklung stammt r Wer behauptet, es zu schreiben.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Wenn ein Hacker die Authentifizierungsdaten für ein Zertifikat erhält, kann er seine eigenen Programme signieren Anwendungen stammen von einem seriösen Entwickler.

Screenshot, Microsofts Blog

Es ist eine Falle! (Zum Vergrößern anklicken.)

Die von Microsoft gesammelten Beispiele von Antivirus Security Pro verwendeten gestohlene Zertifikate, die von verschiedenen CAs an Softwareentwickler an verschiedenen Standorten auf der ganzen Welt herausgegeben wurden, schrieb die Firma.

Die Zertifikate waren Entwickelt von CAs wie VeriSign, Comodo, Thawte und DigiCert für Entwickler in den Niederlanden, den USA, Russland, Deutschland, Kanada und Großbritannien, nach einer Tabelle.

Die Verwendung gestohlener Zertifikate ist keine neue Taktik, aber es ist normalerweise als schwierig zu bewerkstelligen, da Hacker entweder gegen eine Organisation oder eine Organisation verstoßen müssen, die die Zertifikate ausstellt.

Eines der Zertifikate wurde nur drei Tage vor dem Erhalt von Antivirus Security Pro-Beispielen ausgestellt, die "die Distributoren der Malware anzeigen stehlen regelmäßig neue Zertifikate, anstatt Zertifikate aus einem älteren Vorrat zu verwenden. "

Microsoft hat ein weiteres gefälschtes Antivirenprogramm bemerkt, das sich" Win32 / FakePav "nennt, ebenfalls rotiert Olen-Zertifikate.

Win32 / FakePav ist seit seiner Entdeckung um 2010 um mehr als 30 andere Namen gegangen. Es hat in seiner Anfangszeit keine Signaturzertifikate verwendet. Die Malware war über mehr als ein Jahr inaktiv, bis kürzlich neue Stichproben entdeckt wurden, die ein Zertifikat verwendeten, das nach nur wenigen Tagen durch ein anderes ersetzt wurde. Beide Zertifikate wurden unter dem gleichen Namen ausgestellt, aber von verschiedenen CAs, schrieb Microsoft.

Um Probleme zu vermeiden, sollten Softwareentwickler darauf achten, die privaten Schlüssel für die Code-Signierung auf sicher gespeicherten Hardwaregeräten wie Smartcards oder USB zu schützen Token oder Hardware-Sicherheitsmodule. Wenn ein Zertifikat als kompromittiert gilt, können die Zertifizierungsstellen es widerrufen.

"Es ist nicht nur unpraktisch und oft teuer, das Zertifikat zu ersetzen, es kann auch dazu führen, dass der Ruf Ihres Unternehmens verloren geht, wenn es es gewohnt ist Zeichen Malware ", schrieb die Firma.