Ήταν τόσο προφανές πως θα γίνει κάτι τέτοιο… Τα δωρεάν SSL/TLS (Secure Socket Layer/Transport Layer Security) certificates του ‘Let’s Encrypt’ όχι μόνο βοηθούν στο να γίνουν οι website operators legitimate για να κρυπτογραφούν το traffic των χρηστών τους, αλλά επίσης βοηθούν και τους εγκληματίες να παρενοχλούν αθώους χρήστες διαδίδοντας malware μέσω ασφαλών sites.
Το Let’s Encrypt επιτρέπει στον καθένα να αποκτήσει δωρεάν SSL/TLS (Secure Socket Layer/Transport Layer Security) certificates για τους web servers που κρυπτογραφούν όλο το Internet traffic μεταξύ ενός server και των χρηστών. Το Let’s Encrypt αναγνωρίζεται από όλους τους κύριους browsers, συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Internet Explorer.
Ο οργανισμός άρχισε να προσφέρει δωρεάν HTTPS certs στον καθένα από τον προηγούμενο μήνα, καθιστώντας εύκολο στον οποιοδήποτε να στήσει ένα HTTPS website με μερικά απλά βήματα.
Ωστόσο, το πιο ανησυχητικό κομμάτι είναι πως τα Let’s Encrypt free SSL certs δεν χρησιμοποιούνται μόνο από ιδιοκτήτες website για να διασφαλίσουν την σύνδεση των χρηστών τους, αλλά καταχρώνται και από cyber criminals με σκοπό να διαδώσουν malware στους υπολογιστές των θυμάτων – χρηστών.
Πως οι εγκληματίες καταχρώνται τα Let’s Encrypt Certificates?
Ερευνητές της Trend Micro εντόπισαν μια Malvertising Campaign στις 21 δεκέμβρη, κατά την οποία banking malware εγκαθίσταται σε υπολογιστές χρηστών και χρησιμοποιεί τα δωρεάν SSL certificates της Let’s Encrypt για να ‘κρύψει’ το κακόβουλο traffic του.
Το Malvertising είναι μια τεχνική κατά την οποία οι κακόβουλοι δράστες χρησιμοποιούν Web ads για να διαδώσουν malware. Εισάγοντας κακόβουλα διαφημιστικά σε legitimate websites, oι malware authors μπορούν να ανακατευθύνουν τους χρήστες σε κακόβουλα sites για να διαδώσουν malware payload με την βοήθεια κάποιου exploit kit.
Μέχρι στιγμής, οι δημιουργοί των malware αγόραζαν κλεμμένα SSL certificates από την υπόγεια αγορά και τα χρησιμοποιούσαν στις malvertising καμπάνιες τους. Ευτυχώς, αυτά τα certificates έχουν ‘πιαστεί’ και έχουν τεθεί εκτός ισχύς από τους νόμιμους ιδιοκτήτες τους.
Ωστόσο, με τον ερχομό των Let’s Encrypt free SSL certificates, οι malware authors δεν θα έχουν πλέον να πληρώσουν για τα SSL certificates, αφού μπορούν εύκολα να κάνω αίτηση για να τους δοθεί κάποιο δωρεάν.
