Cibercriminosos estão abusando da plataforma de Assinatura Confiável (Trusted Signing) da Microsoft para assinar digitalmente executáveis de malware com certificados de curta duração de três dias.
Atores de ameaças sempre procuraram certificados de assinatura de código, pois podem usá-los para fazer com que o malware pareça ser de uma empresa legítima.
Malwares assinados também têm a vantagem de potencialmente evitar filtros de segurança que normalmente bloqueariam executáveis não assinados, ou pelo menos os trataria com menos suspeição.
O Santo Graal para atores de ameaça é obter certificados de assinatura de código de Validação Estendida (EV), pois automaticamente ganham maior confiança de muitos programas de cibersegurança devido ao processo de verificação mais rigoroso.
Ainda mais importante, acredita-se que os certificados EV obtenham um aumento de reputação no SmartScreen, ajudando a contornar alertas que normalmente seriam exibidos para arquivos desconhecidos.
No entanto, os certificados EV podem ser difíceis de obter, exigindo que sejam roubados de outras empresas ou que atores de ameaças criem empresas fictícias e gastem milhares de dólares para comprar um.
Além disso, uma vez que o certificado é usado em uma campanha de malware, geralmente é revogado, tornando-o inutilizável para futuros ataques.
Recentemente, pesquisadores de cibersegurança observaram atores de ameaças utilizando o serviço Microsoft Trusted Signing para assinar seus malwares com certificados de assinatura de código de curta duração de três dias.
Essas amostras de malware são assinadas por "Microsoft ID Verified CS EOC CA 01" e o certificado é válido apenas por três dias.
Embora o certificado expire três dias após ser emitido, é importante notar que executáveis assinados com ele ainda serão considerados válidos até que o emissor revogue o certificado.
Desde então, outros pesquisadores encontraram várias outras amostras usadas em campanhas de malware em andamento, incluindo as usadas em uma campanha de roubo de criptomoedas Crazy Evil Traffers [VirusTotal] e campanhas Lumma Stealer [VirusTotal].
O serviço Microsoft Trusted Signing foi lançado em 2024 e é um serviço baseado em nuvem que permite aos desenvolvedores terem facilmente seus programas assinados pela Microsoft.
"Trusted Signing é um serviço completo de assinatura de código com uma experiência intuitiva para desenvolvedores e profissionais de TI, apoiado por uma autoridade de certificação gerenciada pela Microsoft", diz um anúncio da Microsoft sobre o serviço.
O serviço suporta cenários de assinatura de confiança pública e privada e inclui um serviço de carimbo de tempo.
A plataforma tem um serviço de assinatura mensal de $9,99 projetado para facilitar para os desenvolvedores assinarem seus executáveis, oferecendo também segurança adicional.
Essa segurança aumentada é alcançada usando certificados de curta duração que podem ser facilmente revogados em caso de abuso e nunca emitindo os certificados diretamente para os desenvolvedores, evitando que sejam roubados em caso de violação.
A Microsoft também diz que certificados emitidos através do serviço Trusted Signing proporcionam um aumento similar na reputação do SmartScreen para executáveis assinados por seu serviço.
"Uma assinatura Trusted Signing garante que sua aplicação é confiável, fornecendo reputação base no SmartScreen, confiança no modo usuário no Windows e validação de assinatura de integridade", diz um FAQ no site Trusted Signing.
Para proteger contra abusos, a Microsoft atualmente só permite que certificados sejam emitidos em nome de uma empresa se ela estiver no mercado há três anos.
No entanto, indivíduos podem se inscrever e ser aprovados mais facilmente se concordarem com os certificados sendo emitidos em seu próprio nome.
Um pesquisador de cibersegurança e desenvolvedor conhecido como 'Squiblydoo', que tem monitorado campanhas de malware abusando de certificados por anos, disse que acredita que atores de ameaças estão migrando para o serviço da Microsoft por conveniência.
"Eu acho que há algumas razões para a mudança. Por muito tempo, usar certificados EV tem sido o padrão, mas a Microsoft anunciou mudanças nos certificados EV", disse Squiblydoo .
No entanto, as mudanças nos certificados EV realmente não são claras para ninguém: nem para os fornecedores de certificados, nem para os atacantes.
No entanto, devido a essas potenciais mudanças e falta de clareza, apenas ter um certificado de assinatura de código pode ser adequado para as necessidades do atacante.
Neste sentido, o processo de verificação para os certificados da Microsoft é substancialmente mais fácil do que o processo para certificados EV, devido à ambiguidade sobre certificados EV, faz sentido usar os certificados da Microsoft.
"Usamos monitoramento ativo de inteligência de ameaças para buscar constantemente qualquer uso indevido ou abuso de nosso serviço de assinatura", disse a Microsoft.
Quando detectamos ameaças, imediatamente mitigamos com ações como revogação ampla de certificados e suspensão de contas.
As amostras de malware que você compartilhou são detectadas por nossos produtos antimalware e já tomamos medidas para revogar os certificados e prevenir abusos de contas futuros.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...