Un falso programma antivirus in circolazione utilizza almeno una dozzina di certificati per la firma digitale di codice rubati, suggerendo che i criminali informatici stanno facendo sempre più breccia nelle reti di sviluppatori di software, ha scritto la Microsoft domenica scorsa.

L’applicazione, commercializzata sotto il nome di “Antivirus Security Pro”, fu individuata per la prima volta nel 2009 ed ha assunto vari altri nomi nel corso degli anni, secondo un bollettino della Microsoft, che la chiama con un unico nome,”Win32/Winwebsec”.

I certificati digitali, rilasciati da Autorità di Certificazione (CA), sono utilizzati dagli sviluppatori per “autenticare” i programmi software, che possono essere controllati attraverso la crittografia per verificare che un programma non sia stato manomesso e che provenga dallo sviluppatore che afferma di averlo sviluppato.

Se un hacker ottiene le credenziali di autenticazione per utilizzare un certificato, può firmare i propri programmi, dando l’impressione che le applicazioni provengano da uno sviluppatore legittimo.

Le copie di Antivirus Security Pro raccolte dalla Microsoft utilizzavano certificati rubati rilasciati “da un certo numero di diverse Autorità di Certificazione a sviluppatori software in varie località del mondo”, ha scritto l’azienda.

I certificati erano stati rilasciati a sviluppatori in Olanda, Stati Uniti, Russia, Germania, Canada e Regno Unito da Autorità di Certificazione come VeriSign, Comodo, Thawte e DigiCert, secondo una tabella.

Utilizzare certificati rubati non è una nuova tattica, ma è generalmente considerata difficile da realizzare poiché gli hacker devono far breccia in un’organizzazione o un’entità che rilascia i certificati.

Uno dei certificati era stato rilasciato solo tre giorni prima che la Microsoft raccogliesse copie di Antivirus Security Pro che la usavano, indicando “che i distributori di malware rubano regolarmente nuovi certificati, piuttosto che utilizzare certificati da una vecchia riserva”.

Microsoft ha notato che un altro programma antivirus falso, chiamato “Win32/FakePav”, sta utilizzando a rotazione certificati rubati.

Win32/FakePav è apparso sotto oltre 30 altri nomi dalla sua individuazione attorno al 2010. Inizialmente esso non utilizzava certificati di autenticazione. Il malware era inattivo per più di un anno finché nuove copie sono state recentemente scoperte, che utilizzavano un certificato che era stato sostituito solo qualche giorno dopo con un altro. Entrambi i certificati erano stati rilasciati sotto lo stesso nome ma da Autorità di Certificazione differenti, ha scritto la Microsoft.

Per evitare problemi, gli sviluppatori di software dovrebbero aver cura di proteggere le chiavi private utilizzate per la firma del codice su dispositivi hardware per la memorizzazione sicura, come smart card, penne USB o moduli di sicurezza hardware.

“Non è solo sconveniente e spesso costoso far sostituire il certificato, può anche comportare la perdita della reputazione della vostra azienda, se esso viene utilizzato per firmare del malware”, ha scritto l’azienda.

Antivirus Security Pro


Potete gradire:

Miglior Antivirus a Pagamento