Киберпреступники используют сервис Microsoft Trusted Signing для подписания вредоносных исполняемых файлов, используя краткосрочные сертификаты сроком действия всего три дня.
Но получить EV-сертификаты сложно, так как они требуют либо:
Кроме того, если EV-сертификат используется в вредоносной кампании, его быстро отзывают, что делает его непригодным для дальнейшего использования.
Что такое Microsoft Trusted Signing?
Запущенный в 2024 году, сервис Trusted Signing позволяет разработчикам подписывать свои программы через облачный сервис Microsoft.
источник
Как злоумышленники используют Trusted Signing?
Подписанное вредоносное ПО воспринимается системой безопасности как легитимное, что позволяет:- Обходить фильтры безопасности, которые блокируют неподписанные файлы.
- Повышать уровень доверия к файлам за счёт сертификатов.
- Получают дополнительное доверие в SmartScreen.
- Помогают избежать предупреждений при запуске неизвестных файлов.
Но получить EV-сертификаты сложно, так как они требуют либо:
- Кражи у легитимных компаний.
- Создания подставных организаций с затратами в тысячи долларов.
- Приобретения у нелегальных поставщиков.
Кроме того, если EV-сертификат используется в вредоносной кампании, его быстро отзывают, что делает его непригодным для дальнейшего использования.
Злоупотребление Microsoft Trusted Signing
Исследователи обнаружили, что злоумышленники используют Microsoft Trusted Signing для подписания вредоносных файлов с помощью краткосрочных сертификатов.- Эти сертификаты действительны всего 3 дня и подписаны "Microsoft ID Verified CS EOC CA 01".
- Несмотря на короткий срок действия, исполняемые файлы остаются валидными до отзыва сертификата.
- Crazy Evil Traffers (криптовалютные кражи).
- Lumma Stealer (кража данных).
Что такое Microsoft Trusted Signing?
Запущенный в 2024 году, сервис Trusted Signing позволяет разработчикам подписывать свои программы через облачный сервис Microsoft.
- Стоимость подписки — $9.99 в месяц.
- Ключевые особенности:
- Повышенный уровень безопасности: сертификаты действуют всего 3 дня и могут быть быстро отозваны при злоупотреблении.
- Сертификаты не передаются разработчикам, что предотвращает их кражу при утечке данных.
- Программы, подписанные этим методом, получают повышение репутации в SmartScreen.
Почему злоумышленники выбирают Trusted Signing?
По мнению экспертов, атака на Microsoft Trusted Signing обусловлена удобством:- EV-сертификаты стали сложнее получить, и процесс их выдачи остается непрозрачным.
- Microsoft предлагает упрощенную верификацию для физических лиц, а компании должны существовать не менее 3 лет, что даёт злоумышленникам лазейку.
Реакция Microsoft
Microsoft заявила, что отслеживает злоупотребления в реальном времени и отзывает сертификаты при обнаружении угроз.На данный момент Microsoft уже приняла меры, отозвав компрометированные сертификаты и заблокировав соответствующие аккаунты.
источник
