駭客冒名申請合法數位憑證以四處兜售

威脅偵測與分析業者ReversingLabs近日揭露了一種新型態的數位憑證詐騙手法，駭客集團假冒可公開取得的企業高階主管身分，向憑證發行機構購買數位憑證，再到黑市兜售。

數位憑證主要是用來驗證內容與開發者的身分相符，且未曾被竄改，以取信於作業系統或使用者，在程式簽章上，憑證機構主要頒發兩種憑證，一是只需要基本身分檢查的程式簽章憑證（Code Signing Certificates），通常是個二進位檔案，二是需要嚴格審查身分與公司資訊的延伸驗證憑證（Extended Validation Certificates），型態為硬體令牌。

而研究人員發現，以二進位檔案呈現的程式簽章憑證，已成為駭客牟利的工具，駭客先透過網路上的資源蒐集可假冒的各種對象，像是在軟體產業任職的人士，再遴選出可取得詳細資料或方便開採的目標，例如找到一個40歲、長年在資訊服務業工作、位居英國，且為公司共同創辦人的A先生。

A先生的公司註冊了一個ABC.com的網址，於是駭客先冒用A先生的身分註冊ABC.co.uk的網址，再以後者的電子郵件帳號來申請憑證。

總之，駭客在經過縝密的部署之後，成功暪過了憑證發行商，取得合法的程式簽章憑證，並多次上傳使用該憑證的執行檔到公開的防毒軟體掃描服務上，以對外展示它的有效性，之後即開始於黑市兜售。

目前ReversingLabs已發現有22個執行檔案使用該簽章，並非所有的檔案都是惡意的，但那些含有惡意檔案的程式中，全都嵌入了OpenSUpdater廣告程式，可用來在使用者的電腦上安裝垃圾軟體。

此外，研究人員發現這已是該駭客集團的固定模式，遭到冒用的個人或企業數量也已有十多個，目前看來雖僅止於申請程式簽章憑證，但若要進一步取得延伸驗證憑證也非不可能。