Lažni antivirusi koriste ukradene digitalne sertifikate

Opisi virusa, 17.12.2013, 07:10 AM

Lažni antivirusi koriste ukradene digitalne sertifikate

Lažni antivirusni program "Antivirus Security Pro" koji je trenutno u opticaju koristi najmanje desetak ukradenih digitalnih sertifikata, upozorio je Microsoft.

Antivirus Security Pro koji se prvi put zapažen 2009. godine, pojavljivao se pod različitim imenima tokom godina, kažu iz Microsoft-a koji ovu pretnju naziva jednim imenom „Win32/Winwebsec“.

Digitalni sertifikati koje izdaju certifikaciona tela koriste programeri za potpisivanje svojih programa koji se mogu kriptografski proveriti da bi se ustanovilo da li je program falsifikovan i da li potiče od programera koji tvrdi da ga je napisao.

Ako haker dođe u posed kredencijala za korišćenje sertifikata, on može potpisati svoje maliciozne programe tako da izgleda kao da programi potiču od legitimnog programera.

Uzorci lažnog antivirusa Antivirus Security Pro koje je prikupio Microsoft koriste ukradene sertifikate koje su izdala brojna različita sertifikaciona tela programerima softvera u različitim delovima sveta, kažu iz Microsoft-a.

Sertifikati su izdati programerima u Holandiji, SAD, Rusiji, Nemačkoj, Kanadi i Velikoj Britaniji od strane sertifikacionih tela kao što je VeriSign, Comodo, Thawte i DigiCert.

Korišćenje ukradenih sertifikata nije nova taktika, ali ju je teško sprovesti u delo jer hakeri moraju ili da hakuju neku kompaniju ili organizaciju koja izdaje sertifikate.

U Microsoft-u veruju da distributeri ovog malvera ne koriste stare zalihe, već da stalno kradu nove sertifikate.

Iz Microsoft-a upozoravaju na još jedan lažni antvirus, „Win32/FakePav“, koji rotira ukradene sertifikate.

Win32/FakePav je od momenta kada je otkriven 2010. godine koristio 30 različitih imena. Na početku, program nije koristio sertifikate. Zatim je malver bio neaktivan godinu dana da bi se iznenada nedavno pojavio, a nova verzija programa koristi sertifikat, koji se posle nekoliko dana zamenjuje novim te se tako dva sertifikata rotiraju. Oba sertifikata su izdata pod istim imenom od strane različitih sertifikacionih tela, kažu u Microsoft-u.

Da bi izbegli probleme, programeri softvera treba da zaštite privatne ključeve koji se koriste za potpis koda na sigurnim uređajima kao što su USB tokeni i smart kartice. Ako se posumnja da je sertifikat kompromitovan, sertifikaciono telo ga može povući.

„Ne samo da je nezgodno i često skupo imati zamenjen sertifikat, već to može dovesti do gubitka ugleda vaše kompanije ako se sertifikat koristio za potpisivanje malvera“, kažu iz Microsoft-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje