Nowe ataki wykorzystują fałszywe certyfikaty. Miej się na baczności

Specjaliści Microsoft Defender opublikowali raport, który ujawnia jedną z najbardziej skomplikowanych kampanii phishingowych ostatnich lat. Atakujący nie wykorzystują luk w systemach ani nowych wirusów, lecz korzystają ze znanych aplikacji oraz legalnych certyfikatów do infekowania komputerów firmowych.

Cała operacja rozpoczyna się od wiadomości e-mail z fałszywymi zaproszeniami na spotkania, zawierają one także załączniki w postaci dokumentów PDF lub linki do aktualizacji popularnych programów, takich jak Microsoft Teams, Zoom, Google Meet czy Adobe Reader. Kliknięcie w taki link skutkuje pobraniem złośliwego oprogramowania.

Fałszywe certyfikaty EV i ich znaczenie

Zainfekowane pliki posiadały cyfrowe podpisy wykorzystujące certyfikat Extended Validation (EV), wydany rzekomo przez firmę TrustConnect Software PTY LTD. Certyfikaty EV są trudne do zdobycia, bo wymagają weryfikacji tożsamości przez jednostkę certyfikującą, a ich obecność zwiększa wiarygodność pliku w systemach antywirusowych. Atakujący wykorzystali to, by ominąć standardowe mechanizmy wykrywania złośliwego oprogramowania.

Działanie malware w sieciach firmowych

Po uruchomieniu malware kopiuje się do folderów w Program Files, rejestruje jako usługa Windows, a następnie ustawia automatyczne uruchamianie przy starcie systemu.

Atakujący nie wykorzystują luk w systemach ani nowych wirusów, lecz korzystają ze znanych aplikacji oraz legalnych certyfikatów do infekowania komputerów firmowych.

Fałszywa strona

Potem po cichu instaluje legalne narzędzia do zdalnego zarządzania komputerami, takie jak ScreenConnect czy Tactical RMM. W efekcie atakujący uzyskują pełną kontrolę nad komputerami podłączonymi do sieci, mogąc przeglądać dane firmowe, kradnąc dokumenty lub przejmować serwery.

Malware-as-a-Service i sztuczki atakujących

Atakujący stworzyli fikcyjną firmę TrustConnect Software PTY LTD. Wszystko wyglądało profesjonalnie i dzięki temu legalnie zakupili certyfikat EV. Następnie oferowali swoje malware innym cyberprzestępcom w modelu Malware-as-a-Service, pobierając 300 dolarów miesięcznie w kryptowalutach za dostęp do podpisanych plików oraz infrastruktury.

Choć certyfikat został oficjalnie unieważniony 6 lutego, wcześniej podpisane pliki pozostają w Windowsie, co utrudnia całkowite wyeliminowanie zagrożenia. Atakujący kontynuują działalność, testując nowe warianty, jak DocConnect, z udoskonalonymi funkcjami i fałszywymi ekranami aktualizacji Windows.

Ostrzeżenie dla użytkowników i firm

Microsoft podkreśla, iż zagrożenie wciąż istnieje. Firmy i pracownicy powinni podchodzić z dużą ostrożnością do plików pobieranych z internetu, szczególnie gdy nie są one w pełni zweryfikowane. Nawet legalnie wyglądające aktualizacje i podpisane pliki mogą kryć złośliwe oprogramowanie.