Σύμφωνα με εταιρεία πληροφορικής, μια διαφήμιση σε ένα ρωσικό «υπόγειο» φόρουμ διαθέτει προς πώληση ένα ή δύο έγκυρα πιστοποιητικά για την υπογραφή κώδικα, κάθε εβδομάδα, προκειμένου τα κακόβουλα προγράμματα να αποφύγουν την ανίχνευση από τα antivirus.
Τα ψηφιακά πιστοποιητικά χρησιμοποιούνται για την υπογραφή προγραμμάτων, με σκοπό την επικύρωση της ακεραιότητάς τους και ότι δεν έχουν μεταβληθεί για κακόβουλους σκοπούς.
Αυτή η μέθοδος συνήθως ήταν αποτελεσματική για την επικύρωση νόμιμου κώδικα, ο οποίος έχει εγκατασταθεί σε ένα μηχάνημα και δεν υπάρχει κακόβουλη πρόθεση. Ωστόσο, οι εγκληματίες του κυβερνοχώρου κατάφεραν να βρουν τρόπους για να χρησιμοποιούν νόμιμα πιστοποιητικά για την υπογραφή malware.
Οι Ρώσσοι έβγαλαν χιλιάδες δολάρια μέσα σε δύο μήνες. Σύμφωνα με ένα blog post από την SenseCy, ο πωλητής των ψηφιακών πιστοποιητικών δημοσίευσε για πρώτη φορά την προσφορά περίπου πριν από δύο μήνες και συνεχίζει να προσθέτει ενημερώσεις σε τακτική βάση.
Το πρώτο πιστοποιητικό πωλήθηκε για περίπου $1.000 / €787, και την επόμενη μέρα, η διαφήμιση περιείχε ένα μήνυμα λέγοντας ότι θα μπορούσε να παρέχει έως και δύο ψηφιακά πιστοποιητικά για την υπογραφή αρχείων EXE.
Η διαφήμιση στο φόρουμ κατέστησε σαφές στο κοινό ότι τα πιστοποιητικά που πουλάει δεν είναι drivers, αλλά και λειτουργούν μόνο σε εκτελέσιμα αρχεία EXE, DLL και JAR, καθώς και για DOC.
Η SenseCy αναφέρει ότι κατά τη διάρκεια παρακολούθησης σε διάστημα δύο μηνών, έχουν πουληθεί περίπου επτά και δέκα πιστοποιητικά.
Η προέλευση των πιστοποιητικών δεν έχει ακόμη καθοριστεί. Η εταιρεία προειδοποιεί για πιθανή αφθονία υπογεγραμμένων malware στο εγγύς μέλλον, τα οποία πιθανότατα προέρχονται από το περιστατικό παραβίασης στη DigiNotar, που συνέβη το 2011 και έληξε με πτώχευση της εταιρείας.
