Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται την αξιοπιστία της Emsisoft παραποιώντας πιστοποιητικά υπογραφής κώδικα προκειμένου να αποκτήσουν πρόσβαση στα προϊόντα ασφαλείας που χρησιμοποιούν οι πελάτες της, παρακάμπτοντας κάθε άμυνα.
Τα πιστοποιητικά υπογραφής κώδικα λειτουργούν ως ψηφιακές υπογραφές, επιβεβαιώνοντας ότι η εφαρμογή δεν έχει τροποποιηθεί από τότε που την υπέγραψε ο εκδότης. Αυτό επιτρέπει στους χρήστες, το λογισμικό και τα λειτουργικά συστήματα να επικυρώνουν την αυθεντικότητά του με εμπιστοσύνη.
Οι χάκερ προσπαθούν να εκμεταλλευτούν αυτή την ευκαιρία δημιουργώντας πλαστά πιστοποιητικά που φαίνεται να σχετίζονται με έναν αξιόπιστο οργανισμό, αν και στην πραγματικότητα είναι ψεύτικα.
Η Emsisoft εξέδωσε πρόσφατα προειδοποίηση προς τους πελάτες της, προειδοποιώντας τους ότι οι χάκερ χρησιμοποίησαν ένα εκτελέσιμο πρόγραμμα με πλαστό πιστοποιητικό της εταιρείας ως μέρος της επίθεσής τους. Οι επιτιθέμενοι ήλπιζαν ότι αυτό θα εξαπατούσε τον πελάτη ώστε να πιστέψει ότι τυχόν ανιχνεύσεις ήταν ψευδώς θετικές και έτσι θα επέτρεπε στο κακόβουλο πρόγραμμά τους να εκτελεστεί χωρίς εντοπισμό.
Δείτε επίσης: Windows 11: Διορθώνει ένα από τα πιο ενοχλητικά σφάλματα
Αν και η επίθεση ήταν ανεπιτυχής χάρη στο λογισμικό ασφαλείας της Emsisoft, το οποίο εντόπισε και μπλόκαρε το αρχείο με βάση την άκυρη υπογραφή του, εξακολουθούν να προειδοποιούν τους πελάτες τους για παρόμοιες κακόβουλες προσπάθειες.
Spoofing την Emsisoft για απομακρυσμένη πρόσβαση
Σύμφωνα με την Emsisoft, ο απειλητικός παράγοντας πιθανότατα διείσδυσε στη συσκευή είτε παραβιάζοντας το RDP είτε παίρνοντας στην κατοχή του credentials που ανήκουν σε κάποιον υπάλληλο του στοχευόμενου οργανισμού.
Μετά τη σύνδεση στο endpoint, οι επιτιθέμενοι προχώρησαν στην εγκατάσταση του MeshCentral – μιας εφαρμογής απομακρυσμένης πρόσβασης ανοιχτού κώδικα που συνήθως θεωρείται ασφαλής λόγω του έγκυρου και ωφέλιμου σκοπού της.
Παρ’ όλα αυτά, το εκτελέσιμο αρχείο MeshCentral ήταν ψηφιακά υπογεγραμμένο με ένα πλαστό πιστοποιητικό Emsisoft που δήθεν προερχόταν από την “Emsisoft Server Trusted Network CA”.
Η Emsisoft επέλεξε να μην αποκαλύψει λεπτομέρειες σχετικά με το εκτελέσιμο αρχείο, αλλά το BleepingComputer αποκάλυψε ότι είχε την ονομασία “smsse.exe” [VirusTotal], όπως φαίνεται παρακάτω.
Όταν το προϊόν ασφαλείας της Emsisoft σάρωσε το αρχείο, εντόπισε μια άκυρη υπογραφή, η οποία ανάγκασε το λογισμικό να το χαρακτηρίσει ως “Άγνωστο” και κατά συνέπεια να το αφαιρέσει από την κυκλοφορία.
Ωστόσο, εάν ένας υπάλληλος αγνοήσει αυτή την προειδοποίηση μόνο και μόνο λόγω του ονόματος της ψηφιακής υπογραφής, μπορεί να επιτρέψει την εκτέλεση της εφαρμογής και να παραχωρήσει σε έναν κακόβουλο παράγοντα τον πλήρη έλεγχο της συσκευής του.
Δείτε επίσης: Hyundai και Kia κυκλοφόρησαν patch για επικίνδυνο ελάττωμα ασφαλείας
Με αυτή την απομακρυσμένη πρόσβαση, οι κακόβουλοι φορείς μπορούν να παρακάμψουν τις υπάρχουσες προστασίες προκειμένου να εξαπλωθούν σε όλο το δίκτυο, να διαρρεύσουν ευαίσθητα δεδομένα και ακόμη και να αναπτύξουν ransomware.
Για να διασφαλιστεί η ασφάλεια του συστήματός σας, η Emsisoft συνιστά να ελέγχετε ότι ένα αρχείο είναι γνήσιο και ασφαλές πριν του δώσετε άδεια εκτέλεσης. Εάν δεν είστε σίγουροι για τη γνησιότητα ενός εκτελέσιμου αρχείου, συμβουλευτείτε τους προμηθευτές ασφαλείας για περαιτέρω επαλήθευση της πηγής του.
Δείτε επίσης: Οι χάκερ χρησιμοποιούν το Havoc ως εναλλακτική του Cobalt Strike
Για να αποφευχθεί οποιαδήποτε πιθανή παραβίαση ή παραποίηση του προϊόντος Emsisoft, η εταιρεία ενθαρρύνει τους διαχειριστές συστημάτων να ορίσουν έναν ασφαλή κωδικό πρόσβασης για πρόσθετη προστασία.
Πηγή πληροφοριών: bleepingcomputer.com
