Cybercriminelen misbruiken het Trusted Signing-platform van Microsoft om malware-uitvoerbare bestanden te voorzien van een code-ondertekening met kortlopende certificaten van drie dagen.

Bedreigingsactoren willen al lang graag code-ondertekeningscertificaten verkrijgen omdat ze kunnen worden gebruikt om malware te ondertekenen en zo de schijn te wekken dat ze afkomstig zijn van een legitiem bedrijf.

Ondertekende malware heeft ook het voordeel dat ze mogelijk beveiligingsfilters omzeilt die normaal gesproken niet-ondertekende uitvoerbare bestanden zouden blokkeren, of er op zijn minst minder verdacht naar zouden kijken.

De heilige graal voor bedreigingsactoren is het verkrijgen van Extended Validation (EV) code-ondertekeningscertificaten, aangezien deze automatisch meer vertrouwen krijgen van veel cybersecurityprogramma’s door het strengere verificatieproces. Nog belangrijker is dat EV-certificaten naar verluidt een reputatieboost krijgen in SmartScreen, waardoor waarschuwingsmeldingen kunnen worden omzeild die normaal gesproken voor onbekende bestanden worden weergegeven.

Echter, EV-codeondertekeningscertificaten zijn moeilijk te verkrijgen, wat betekent dat ze gestolen moeten worden van andere bedrijven of dat bedreigingsactoren valse bedrijven moeten opzetten en duizenden dollars moeten uitgeven om er een te kopen. Bovendien wordt het certificaat doorgaans ingetrokken wanneer het in een malwarecampagne wordt gebruikt, waardoor het niet bruikbaar is voor toekomstige aanvallen.

Misbruik van de Microsoft Trusted Signing-service

Recentelijk hebben cybersecurityonderzoekers waargenomen dat bedreigingsactoren gebruikmaken van de Microsoft Trusted Signing-service om hun malware te ondertekenen met kortlopende code-ondertekeningscertificaten van drie dagen.

Deze malwaresamples zijn ondertekend door “Microsoft ID Verified CS EOC CA 01” en het certificaat is slechts drie dagen geldig. Terwijl het certificaat drie dagen na uitgifte verloopt, is het belangrijk op te merken dat uitvoerbare bestanden die ermee zijn ondertekend als geldig zullen worden beschouwd totdat de uitgever het certificaat intrekt.

Sindsdien hebben andere onderzoekers en BleepingComputer tal van andere samples gevonden die worden gebruikt in lopende malwarecampagnes, waaronder die in een Crazy Evil Traffers crypto-diefstal campagne [VirusTotal] en Lumma Stealer [VirusTotal] campagnes.

De Microsoft Trusted Signing-service werd in 2024 gelanceerd en is een cloudgebaseerde service waarmee ontwikkelaars hun programma’s gemakkelijk door Microsoft kunnen laten ondertekenen.

“Trusted Signing is een complete code-ondertekeningsdienst met een intuïtieve ervaring voor ontwikkelaars en IT-professionals, ondersteund door een door Microsoft beheerde certificeringsautoriteit,” leest een aankondiging van Microsoft voor de dienst.

“De service ondersteunt zowel publieke als private vertrouwde ondertekeningsscenario’s en bevat een tijdstempelservice.”

Het platform heeft een maandabonnement van $9,99 om het voor ontwikkelaars gemakkelijk te maken hun uitvoerbare bestanden te ondertekenen, terwijl het ook extra beveiliging biedt.

Deze verhoogde beveiliging wordt bereikt door gebruik te maken van kortlopende certificaten die gemakkelijk kunnen worden ingetrokken bij misbruik en door nooit de certificaten rechtstreeks aan de ontwikkelaars uit te geven, waardoor ze niet gestolen kunnen worden bij een inbreuk.

Microsoft zegt ook dat certificaten die via de Trusted Signing-service zijn uitgegeven, een vergelijkbare SmartScreen-reputatieboost bieden aan uitvoerbare bestanden die door zijn dienst zijn ondertekend.

“Een Trusted Signing-handtekening zorgt ervoor dat uw applicatie wordt vertrouwd door basisreputatie te bieden op SmartScreen, gebruikersmodustrust op Windows en handtekeningvalidatie voor integriteitscontrole conform,” leest een FAQ op de Trusted Signing-site.

Om misbruik te voorkomen, staat Microsoft momenteel alleen toe dat certificaten worden uitgegeven onder een bedrijfsnaam als het bedrijf al drie jaar actief is.

Individuen kunnen echter gemakkelijker aanmelden en goedkeuring krijgen als ze ermee instemmen dat de certificaten onder hun eigen naam worden uitgegeven.

Een eenvoudigere weg

Een cybersecurityonderzoeker en ontwikkelaar bekend als ‘Squiblydoo’, die al jaren malwarecampagnes volgt die misbruik maken van certificaten, vertelde BleepingComputer dat ze geloven dat bedreigingsactoren overschakelen naar de dienst van Microsoft vanwege het gemak.

“Ik denk dat er een paar redenen zijn voor de verandering. Al lange tijd is het gebruik van EV-certificaten de standaard geweest, maar Microsoft heeft veranderingen aan EV-certificaten aangekondigd,” vertelde Squiblydoo aan BleepingComputer.

“Echter, de veranderingen aan EV-certificaten zijn voor niemand echt duidelijk: niet voor certificaatleveranciers, niet voor aanvallers. Gezien deze mogelijke veranderingen en het gebrek aan duidelijkheid, kan het gewoon beschikken over een codeondertekeningscertificaat voldoende zijn voor de behoeften van aanvallers.”

“In dit opzicht is het verificatieproces voor de certificaten van Microsoft aanzienlijk eenvoudiger dan het verificatieproces voor EV-certificaten: door de vaagheid rond EV-certificaten is het logisch om de Microsoft-certificaten te gebruiken.”

BleepingComputer nam contact op met Microsoft over het misbruik en werd verteld dat het bedrijf bedreigingsintelligentiemonitoring gebruikt om certificaten te vinden en in te trekken zodra ze worden ontdekt.

“We gebruiken actieve bedreigingsintelligentiemonitoring om voortdurend te zoeken naar misbruik of oneigenlijk gebruik van onze ondertekeningsdienst,” vertelde Microsoft aan BleepingComputer.

“Wanneer we bedreigingen detecteren, nemen we onmiddellijk maatregelen, zoals brede certificaatintrekking en opschorting van accounts. De malware-samples die je hebt gedeeld, worden gedetecteerd door onze antimalwareproducten en we hebben al stappen ondernomen om de certificaten in te trekken en verder accountmisbruik te voorkomen.”

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----