Компания Intrinsec о растущем рынке использования сертификатов с расширенной проверкой (EV) в киберпреступных схемах. В отчете подробно рассматриваются методы, используемые злоумышленниками для получения и использования этих сертификатов, а также анализируются угрозы, которые они представляют для безопасности.
Технология цифровой подписи, изначально разработанная для подтверждения подлинности и целостности программного обеспечения, все чаще используется киберпреступниками для обхода защитных мер, получения административных привилегий и введения пользователей в заблуждение с помощью сертификатов, выглядящих легитимно. Особенно востребованы на черном рынке EV-сертификаты, стоимость которых варьируется от $2000 до $6000.
Для получения таких сертификатов злоумышленники могут использовать различные методы, включая регистрацию новых компаний, имитацию существующих фирм или кражу сертификатов. В отчете Intrinsec приведены примеры недавних атак, в которых использовались украденные или поддельные EV-сертификаты. Так, вредоносные программы, такие как QakBot и Grandoreiro, использовали сертификаты, полученные путем имитации компаний или использования данных закрытых организаций. Также упоминается случай с компанией NVIDIA, сертификаты которой были украдены группой Lapsus$ и впоследствии использовались для подписания вредоносного кода.
Отчет Intrinsec подчеркивает, что злоумышленники могут использовать цифровую подпись не только для обхода защитных механизмов, таких как Microsoft SmartScreen, но и для повышения уровня доверия со стороны пользователей и уменьшения вероятности обнаружения антивирусными программами.
Кроме того, в отчете освещены услуги, предлагаемые на черном рынке, такие как доставка физических токенов, необходимых для использования EV-сертификатов, а также предоставление удаленного доступа к этим токенам. Подобные предложения распространяются не только на специализированных форумах, но и через мессенджеры, такие как Telegram.
Intrinsec рекомендует организациям усилить меры по проверке подлинности сертификатов и внедрить более строгие политики управления приложениями. В числе рекомендаций также значится обучение сотрудников для распознавания потенциальных угроз и использование репутационных систем для обнаружения вредоносных сертификатов.
Этот отчет подчеркивает необходимость постоянного мониторинга и адаптации средств защиты для противодействия все более изощренным методам, используемым в киберпреступности.