Emsisoft ha comunicato che un suo falso certificato digitale è stato utilizzato per mascherare un attacco contro un cliente. L’obiettivo era far credere che la rilevazione del certificato fosse un falso positivo. Fortunatamente l’attacco è stato bloccato dalla soluzione di sicurezza dell’azienda neozelandese, ma è necessario prestare molta attenzione prima di eseguire software che sembrano provenire da una fonte affidabile.
Spoofing per l’accesso remoto
I certificati digitali vengono utilizzati per “firmare” il codice dell’applicazione in modo tale che il sistema operativo verifichi l’assenza di manomissioni. Gli esperti di Emsisoft non hanno individuato come sia avvenuto l’accesso iniziale, ma ipotizzano un attacco di forza bruta su RDP (Remote Desktop Protocol) o l’uso di credenziali rubate.
Dopo aver ottenuto l’accesso al sistema, i cybercriminali hanno installato MeshCentral, un software open souce che consente l’accesso remoto. L’eseguibile del tool era firmato con il certificato “Emsisoft Server Trusted Network CA”. Nelle proprietà del file viene indicato chiaramente che il certificato non è valido, ma l’utente può credere che si tratti di un falso positivo, soprattutto se usa già software di Emsisoft.
Se viene consentita l’esecuzione, i cybercriminali ottengono il controllo completo del computer e possono eseguire varie attività, tra cui la disattivazione degli antivirus, il furto di dati sensibili e l’installazione di malware. Nel caso di dubbi è consigliato contattare direttamente l’azienda che sviluppa il software.