Một hacker đang sử dụng chứng chỉ ký mã giả mạo danh công ty an ninh mạng Emsisoft để nhắm mục tiêu khách hàng sử dụng các sản phẩm bảo mật của họ, với hy vọng vượt qua hệ thống phòng thủ của họ.
Chứng chỉ ký mã là chữ ký điện tử được sử dụng để ký ứng dụng để người dùng, phần mềm và hệ điều hành có thể xác minh rằng phần mềm không bị giả mạo kể từ khi nhà xuất bản ký.
Các tác nhân đe dọa cố gắng lợi dụng điều này bằng cách tạo chứng chỉ giả có tên dường như được liên kết với một thực thể đáng tin cậy, nhưng trên thực tế, đó không phải là chứng chỉ hợp lệ.
Trong một tư vấn bảo mật mới, Emsisoft đã cảnh báo rằng một trong những khách hàng của họ đã bị tin tặc nhắm đến bằng cách sử dụng tệp thực thi được ký bởi chứng chỉ Emsisoft giả mạo. Công ty tin rằng điều này được thực hiện để lừa khách hàng nghĩ rằng bất kỳ phát hiện nào là dương tính giả và để cho phép chương trình chạy.
"Gần đây, chúng tôi đã quan sát thấy một sự cố trong đó chứng chỉ ký mã giả được cho là của Emsisoft đã được sử dụng nhằm che giấu một cuộc tấn công có chủ đích nhằm vào một trong những khách hàng của chúng tôi," Emsisoft cho biết trong phần tư vấn bảo mật .
"Tổ chức được đề cập đã sử dụng các sản phẩm của chúng tôi và mục đích của kẻ tấn công là khiến tổ chức đó cho phép một ứng dụng mà tác nhân đe dọa đã cài đặt và định sử dụng bằng cách làm cho phát hiện của nó có vẻ là dương tính giả."
Trong khi cuộc tấn công thất bại và phần mềm bảo mật của Emsisoft đã chặn tệp do chữ ký không hợp lệ, công ty đang cảnh báo khách hàng của mình cảnh giác trước các cuộc tấn công tương tự.
Emsisoft cho biết tác nhân đe dọa có thể đã có quyền truy cập ban đầu vào thiết bị bị xâm nhập thông qua RDP cưỡng bức hoặc sử dụng thông tin đăng nhập bị đánh cắp thuộc về một nhân viên của tổ chức bị nhắm mục tiêu.
Sau khi truy cập vào điểm cuối, những kẻ tấn công đã cố gắng cài đặt MeshCentral, một ứng dụng truy cập từ xa nguồn mở thường được các sản phẩm bảo mật tin cậy vì ứng dụng này được sử dụng cho các mục đích hợp pháp.
Tuy nhiên, tệp thực thi MeshCentral này đã được ký bằng chứng chỉ Emsisoft giả tự xưng là từ "Emsisoft Server Trusted Network CA."
Mặc dù Emsisoft không chia sẻ chi tiết về tệp thực thi, nhưng BleepingComputer đã phát hiện ra rằng nó có tên là 'smsse.exe' [ VirusTotal ], như được hiển thị bên dưới.
Tệp thực thi MeshCentral được ký bằng chứng chỉ Emsisoft giả
Khi sản phẩm bảo mật của Emsisoft quét tệp, nó đã đánh dấu tệp là "Không xác định" do chữ ký không hợp lệ và cách ly tệp.
Chữ ký giả được phát hiện bởi công cụ của Emsisoft
Tuy nhiên, nếu một nhân viên coi cảnh báo này là dương tính giả do tên chữ ký số, họ có thể đã cho phép ứng dụng chạy, cho phép kẻ tấn công có toàn quyền truy cập vào thiết bị.
Quyền truy cập từ xa này sau đó có thể được sử dụng để vô hiệu hóa các biện pháp bảo vệ, lây lan sang bên trong mạng, đánh cắp dữ liệu nhạy cảm và có khả năng triển khai phần mềm tống tiền.
Emsisoft cảnh báo rằng các tệp thực thi chỉ nên được tin cậy sau khi xác nhận tệp không độc hại và liên hệ với nhà cung cấp bảo mật trước khi cho phép tệp thực thi chạy với chữ ký không hợp lệ.
Emsisoft giải thích: “Sự cố này cho thấy các tổ chức cần phải có nhiều lớp bảo vệ để nếu một lớp không chặn được một cuộc tấn công, lớp khác sẽ làm được”.
Công ty cũng đề xuất rằng quản trị viên hệ thống nên đặt mật khẩu trên sản phẩm Emsisoft của họ để ngăn không cho mật khẩu bị giả mạo hoặc vô hiệu hóa trong trường hợp vi phạm, chẳng hạn như lần thử này.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.