Исследователи из компании ReversingLabs обнаружили новую тактику, которую преступники используют для мошеннических операций. Теперь злоумышленники притворяются легальными руководителями предприятия для покупки сертификатов безопасности в интернете и дальнейшей их продажи на подпольных форумах.

В рамках данной схемы преступник сначала ищет подходящую жертву. В одном случае преступник удалил информацию со страницы руководителя британской компании в социальной сети LinkedIn, а затем зарегистрировал доменное имя, связанное с данным предприятием. Потом преступник заказал Code Signing сертификат, для которого он уже имел все необходимые данные. Для подтверждения личности юридическая информация о фирме проверяется в правительственных или доверенных сторонних базах данных, домен web-сайта проверяется по электронной почте, а затем происходит автоматический процесс обратного вызова. Теперь злоумышленник успешно выдал себя за директора компании и у него есть Code Signing сертификат, который можно продать. Данный сертификат, полученный нелегальным способом в описанном случае, теперь используется в рекламном ПО OpenSUpdater для подписи 22 исполняемых файлов, многие из которых являются вредоносными.

«Обман удостоверяющего центра — еще одна тактика, применяемая данным преступником. Используя одну и ту же личность, субъект пытается купить как можно больше сертификатов у как можно большего количества удостоверяющих центров», — поясняет сооснователь ReversingLabs Томислав Перицин (Tomislav Pericin).

Исследователи полагают, что преступник использовал ту же тактику по крайней мере против десятка компаний. С одной личностью были связаны мошеннические сертификаты расширенной проверки (EV-сертификаты). Предположительно, размер прибыли оправдывает мониторинг и настройку инфраструктуры, необходимых для прохождения многочисленных проверок личности.

Сертификаты безопасности предназначены для того, чтобы вызвать доверие пользователей к развертыванию программного обеспечения. Традиционное антивирусное программное обеспечение обычно использует базы сигнатур для определения того, содержит ли ПО, загруженное или запущенное на компьютере, вредонос. Тем не менее, если вредоносный программный продукт будет иметь законную подпись, он сможет обойти проверку.

Источник: securitylab.ru