HP Wolf Security 最近披露的研究表明,威胁行为者可能正在组建虚假公司,以获得验证其欺诈性 PDF 阅读器网站真实性的证书。根据惠普的说法,这一最新的洞察揭示了一个重要的 ChromeLoader 活动,该活动使用有效的代码签名证书来规避 Windows 安全协议和用户警报,从而增加成功感染的可能性。
该研究强调攻击者使用合法的代码签名证书对安装文件进行签名。因此,安装不会受到 AppLocker 安全策略的阻碍,也不会触发用户警告。这表明这些证书要么是从真实的公司窃取的,要么是由威胁行为者创建的,只是为了获取用于签名代码的有效证书。
已发现的活动使用恶意广告策略来引诱受害者访问精心设计的网站,这些网站声称提供合法工具,例如 PDF 阅读器和转换器。通过访问这些受感染的网站,攻击者可以接管受害者的浏览器,并将搜索重定向到攻击者控制下的网站。研究表明,根据证书颁发者的不同,吊销过程可能会很漫长,有时会持续几个月,从而使恶意软件在较长时间内变得危险。
Venafi 首席创新官 Kevin Butschek 对这些发现的影响发表了评论。 Butschek 表示:“代码签名证书是非常强大的设备身份,攻击者滥用它们越来越令人担忧。这些证书告诉设备,该软件是朋友,而不是敌人,允许其安装和运行而不会发出警报。 ”。
“通常情况下,如果检测到恶意软件,设备将阻止安装 – 但有了有效的证书,即使是恶意代码也会被视为安全,这凸显了这些设备身份在不法之徒手中可能是多么强大和危险。”停止未经授权的代码。”
Bocek 与其他备受瞩目的利用这些漏洞的案例进行了比较。 “如果被盗或以欺诈方式获得,攻击者可以使用它以受信任的名称分发恶意软件,从而很难阻止像 HP 专门指出的 ChromeLoader 活动这样的攻击,我们已经在 Windows 代码签名证书等备受瞩目的案例中看到了这种情况。来自 Nvidia 和 SolarWinds 的黑客攻击,代码签名的恶意软件被安装在数百万台设备上,导致全球混乱。
他还强调了对网络安全的更广泛影响,特别是在先进技术发展的背景下。 “随着云原生技术的发展和开发人员数量的增长,尤其是在人工智能方面,黑客在验证和授权代码、容器和应用程序进行通信、操作和操作时针对设备身份的出现对于所有安全团队都很重要。强大的编程助手——保护设备身份的需求此类代码签名证书更加迫切,专家们呼吁建立一种机器身份控制平面,将整个企业范围内从代码签名到 TLS 证书的保护结合起来。
More Stories
《东京恶习》制片人详述日本走向全球制作中心之路
康拉德·科尔曼仅使用可再生能源再次改变了世界
新款 MacBook Pro 为苹果一周的重大新闻画上了句号