Computer Security Avertissement: les logiciels malveillants signés...

Avertissement: les logiciels malveillants signés numériquement sont à la hausse

augmentation des logiciels malveillants signés numériquement La signature de code est théoriquement un excellent outil pour faire la distinction entre les exécutables légitimes et les logiciels malveillants suspects et potentiellement dangereux. Toutefois, les récentes soumissions aux bases de données sur les menaces en ligne révèlent une tendance inquiétante: un nombre croissant de logiciels malveillants réels sont en cours de diffusion avec des certificats très réels émanant autorités réelles.

Au cours de près de 12 mois, VirusTotal, un service qui collecte, catalogue et analyse des échantillons de menaces à l’aide de divers outils et méthodes, a accumulé près de 4 000 logiciels malveillants différents, tous signés numériquement par des autorités de certification légitimes. Parmi les institutions émettant ces certificats figurent Entrust, DigiCert, Go Daddy, GlobalSign, Sectigo et VeriSign. Les données proviennent un rapport publié par le blog de Mediums Chronicle.

Il peut y avoir plus de logiciels malveillants signés numériquement quon ne le pensait

Qui plus est, les chiffres cités sont également considérés comme assez conservateurs et peuvent ne pas être révélateurs de la propagation réelle des programmes malveillants signés numériquement, car un certain nombre de critères restrictifs ont été utilisés pour les former. Les 3 815 exemples de logiciels malveillants signés ont été découverts lors de la recherche uniquement dans les exécutables portables Windows et incluaient aucun fichier ayant généré au moins 15 détections provenant de différents moteurs.

Comme ont souligné les chercheurs en matière de sécurité, les logiciels malveillants signés numériquement représentent un gros problème, car ils permettent aux menaces sérieuses de fonctionner facilement dans des environnements où des mesures de sécurité adéquates sont en place. Le plus grand nombre de certificats émis par des programmes malveillants semble provenir de Sectigo, anciennement connu sous le nom de Comodo. Plus de la moitié des 3 815 détections étaient certifiées par Sectigo. Cette prévalence provient probablement du fait que Sectigo est également la plus grande autorité de certification du groupe.

Les mauvais acteurs travaillent en toute impunité, en utilisant des sociétés LLC jetables et en achetant des certificats auprès de ces entités, sans même prétendre être une société établie. Les autorités de certification ont rapidement commencé à révoquer les certificats émis contre des programmes malveillants, certaines travaillant plus rapidement que autres. Le fait que les mauvais acteurs aient un accès aussi facile et immédiat à la certification de code par des autorités légitimes reste un problème qui ne peut être résolu que par la mise en œuvre de règles et procédures plus strictes en matière de diligence requise.

Chargement...