Em abril, a autoridade certificadora DigiCert emitiu vários certificados de assinatura de código para autores de malware. Anteriormente, eles atacaram funcionários de atendimento ao cliente da DigiCert com malware e assumiram o controle de seus computadores. Como várias medidas de proteção falharam, os criminosos obtiveram acesso ao portal protegido do cliente – incluindo todas as informações necessárias para recuperar o certificado.
Leia mais depois do anúncio
O grupo responsável pelo “Zhong Stealer” provavelmente está por trás dos atacantes. O grupo é especializado em ataques a funcionários de atendimento ao cliente. Eles infectaram dois PCs pertencentes a funcionários da DigiCert e assim conseguiram acessar funções que simulavam o acesso do cliente no portal DigiCert. O código de inicialização do certificado está disponível lá, o qual – junto com os tokens de hardware e software apropriados do cliente – não apenas ativa o certificado, mas também o material de chave associado a ele.
Dessa forma, o invasor sequestrou um total de 27 certificados e os utilizou para inserir o malware e assim contrabandeá-lo através do Smart Screen do Windows. Durante uma investigação interna, a DigiCert encontrou 33 certificados adicionais e vários pedidos suspeitos e os retirou 24 horas após a descoberta.
Na análise da causa raiz, a DigiCert identificou diversas medidas de proteção inadequadas: Aparentemente, não havia nenhum sensor CrowdStrike instalado em um dos dois computadores comprometidos – os criminosos ficaram lá por dez dias. Houve um alarme no segundo computador, mas o malware ainda estava em execução. Uma lacuna conceitual na análise de risco para códigos de inicialização de certificados permitiu a captura de certificados valiosos, e o portal do cliente da Salesforce também prejudicou a empresa. Ele encaminha cegamente o malware, arquivos .scr em formato ZIP, para a equipe de suporte, fornecendo um terreno fértil ideal.
As empresas da UE também são afetadas
Os clientes afetados incluem os fabricantes de PC Shuttle, Lenovo e Palit, mas também a Tencent, a operadora de serviços de vídeo TikTok e a empresa de segurança de Leipzig DigiFors. No total, a lista informada pela DigiCert inclui 61 certificados de organizações de treze países, principalmente da Ásia. Mas as empresas da UE também são afetadas: além da German GmbH, são afetadas uma empresa da Suíça, França, Polónia e Portugal.
A DigiCert espera mais adversidades da Microsoft na Noite de Walpurgis. Em 30 de abril, a empresa de software Redmond adicionou a detecção do malware “Trojan:Win32/Cerdigent.A!dha” atualizando a assinatura de sua solução antivírus doméstica Defender, que, sob certas condições, remove rapidamente dois certificados raiz CA (“DigiCert Assured ID Root CA” e “DigiCert Trusted Root Trust G4”) do Windows Trusted Root Store. Isso significa que as conexões TLS a sites com certificados DigiCert não podem ser feitas em PCs Windows afetados.
Leia mais depois do anúncio
Mas ainda é duvidoso se há alguma conexão entre os dois eventos: já se passaram quase duas semanas entre o último certificado de malware revogado e a atualização de assinatura errada, e o certificado ainda está incluído na lista atual de certificados raiz aceitos pela Microsoft.
Esta não é a primeira vez que a DigiCert tem dificuldades relacionadas a certificados: no ano passado, a empresa enfrentou a ameaça de ações judiciais de clientes. Eles se recusaram a substituir às pressas o certificado que foi retirado devido a um erro oficial. Está em boa companhia: a D-Trust, subsidiária da Bundesdruckerei, está dando a milhares de administradores turnos extras durante as férias da Páscoa pelo mesmo motivo.
(meu)
