Falešný antivirus zneužívá odcizené certifikáty

Podvodný antivirový program si získává důvěru uživatelských zařízení za pomoci odcizených podepsaných certifikátů.

Falešný antivirus zneužívá odcizené certifikáty


Na novou hrozbu upozornil Microsoft, podle kterého jde mimo jiné o znamení toho, že se kyberzločinci zaměřili na sítě softwarových vývojářů.

Aplikace šířená pod názvem Antivirus Security Pro se poprvé objevila v roce 2008 a za tu dobu se mezi uživateli rozšířila pod mnoha dalšími jmény. Sám Microsoft používá pro falešný antivirus označení Win32/Winwebsec.

Vzorky tzv. antiviru, které se výzkumníkům z Microsoftu podařilo získat, používají certifikáty vydané původně hned několika různými certifikačními autoritami softwarovým vývojářům působícím na několika místech po celém světě.

Právoplatnými majiteli certifikátů jsou firmy i jednotlivci z Nizozemska, Ruska, Německa, Kanady nebo Velké Británie. Za vydáním certifikátů stojí společnosti VeriSign, Comodo, Thawte a DigiCert.

Používání odcizených certifikátů není žádnou novinkou, jde však o jednu z obtížnějších metod útoku. Zločinci totiž pro získání certifikátu musejí prolomit ochranu jeho majitele či organizace, která jej vydala.

Jeden ze zneužitých certifikátů byl přitom vydán pouhé tři dny předtím, než Microsoft získal vzorky falešného antiviru. Podle výzkumníků je tedy zřejmé, že se útočníci snaží získávat stále novější certifikáty, místo toho, aby sahali do svých starších zásob.

Kromě Security Pro Microsoft upozornil také na další falešný antivirus, kterému dal název Win32/FakePav. Ten rovněž využívá odcizených certifikátů k oklamání uživatelského zařízení.

Win32/FakePav je prý v oběhu již od roku 2010. Od té doby si jej uživatelé mohli stáhnout pod více než 30 různými jmény. Ve svých začátcích žádné podepsané certifikáty nepoužíval, naopak byl po dobu téměř jednoho roku neaktivní. Až nedávno výzkumníci narazili na nové vzorky, které se již prokazovaly odcizenými certifikáty.

Aby se podobným případům předcházelo, měli by softwaroví vývojáři ukládat své certifikáty na chráněném hardwarovém zařízení, jako jsou čipové karty nebo USB tokeny. Platnost certifikátu lze sice v případě odcizení zrušit, jde však o nákladnou záležitost a utrpět může i pověst firmy, z níž byl certifikát odcizen.

Úvodní foto: © inq - Fotolia.com










Komentáře