惠普透露黑客正在利用假冒公司获取可信证书

HP Wolf Security 最近披露的研究表明，威胁行为者可能正在组建虚假公司，以获得验证其欺诈性 PDF 阅读器网站真实性的证书。根据惠普的说法，这一最新的洞察揭示了一个重要的 ChromeLoader 活动，该活动使用有效的代码签名证书来规避 Windows 安全协议和用户警报，从而增加成功感染的可能性。

该研究强调攻击者使用合法的代码签名证书对安装文件进行签名。因此，安装不会受到 AppLocker 安全策略的阻碍，也不会触发用户警告。这表明这些证书要么是从真实的公司窃取的，要么是由威胁行为者创建的，只是为了获取用于签名代码的有效证书。

已发现的活动使用恶意广告策略来引诱受害者访问精心设计的网站，这些网站声称提供合法工具，例如 PDF 阅读器和转换器。通过访问这些受感染的网站，攻击者可以接管受害者的浏览器，并将搜索重定向到攻击者控制下的网站。研究表明，根据证书颁发者的不同，吊销过程可能会很漫长，有时会持续几个月，从而使恶意软件在较长时间内变得危险。

Venafi 首席创新官 Kevin Butschek 对这些发现的影响发表了评论。 Butschek 表示：“代码签名证书是非常强大的设备身份，攻击者滥用它们越来越令人担忧。这些证书告诉设备，该软件是朋友，而不是敌人，允许其安装和运行而不会发出警报。 ”。

“通常情况下，如果检测到恶意软件，设备将阻止安装 – 但有了有效的证书，即使是恶意代码也会被视为安全，这凸显了这些设备身份在不法之徒手中可能是多么强大和危险。”停止未经授权的代码。”

Bocek 与其他备受瞩目的利用这些漏洞的案例进行了比较。 “如果被盗或以欺诈方式获得，攻击者可以使用它以受信任的名称分发恶意软件，从而很难阻止像 HP 专门指出的 ChromeLoader 活动这样的攻击，我们已经在 Windows 代码签名证书等备受瞩目的案例中看到了这种情况。来自 Nvidia 和 SolarWinds 的黑客攻击，代码签名的恶意软件被安装在数百万台设备上，导致全球混乱。

他还强调了对网络安全的更广泛影响，特别是在先进技术发展的背景下。 “随着云原生技术的发展和开发人员数量的增长，尤其是在人工智能方面，黑客在验证和授权代码、容器和应用程序进行通信、操作和操作时针对设备身份的出现对于所有安全团队都很重要。强大的编程助手——保护设备身份的需求此类代码签名证书更加迫切，专家们呼吁建立一种机器身份控制平面，将整个企业范围内从代码签名到 TLS 证书的保护结合起来。