Photo by Jose Gabriel Ortega Castro on https://unsplash.com/photos/2Sd1kYW3h1Y

威脅偵測與分析業者ReversingLabs近日揭露了一種新型態的數位憑證詐騙手法,駭客集團假冒可公開取得的企業高階主管身分,向憑證發行機構購買數位憑證,再到黑市兜售。

數位憑證主要是用來驗證內容與開發者的身分相符,且未曾被竄改,以取信於作業系統或使用者,在程式簽章上,憑證機構主要頒發兩種憑證,一是只需要基本身分檢查的程式簽章憑證(Code Signing Certificates),通常是個二進位檔案,二是需要嚴格審查身分與公司資訊的延伸驗證憑證(Extended Validation Certificates),型態為硬體令牌。

而研究人員發現,以二進位檔案呈現的程式簽章憑證,已成為駭客牟利的工具,駭客先透過網路上的資源蒐集可假冒的各種對象,像是在軟體產業任職的人士,再遴選出可取得詳細資料或方便開採的目標,例如找到一個40歲、長年在資訊服務業工作、位居英國,且為公司共同創辦人的A先生。

A先生的公司註冊了一個ABC.com的網址,於是駭客先冒用A先生的身分註冊ABC.co.uk的網址,再以後者的電子郵件帳號來申請憑證。

總之,駭客在經過縝密的部署之後,成功暪過了憑證發行商,取得合法的程式簽章憑證,並多次上傳使用該憑證的執行檔到公開的防毒軟體掃描服務上,以對外展示它的有效性,之後即開始於黑市兜售。

目前ReversingLabs已發現有22個執行檔案使用該簽章,並非所有的檔案都是惡意的,但那些含有惡意檔案的程式中,全都嵌入了OpenSUpdater廣告程式,可用來在使用者的電腦上安裝垃圾軟體。

此外,研究人員發現這已是該駭客集團的固定模式,遭到冒用的個人或企業數量也已有十多個,目前看來雖僅止於申請程式簽章憑證,但若要進一步取得延伸驗證憑證也非不可能。


Advertisement

更多 iThome相關內容