Cosè il malware Code-Signed e come evitarlo?

La firma del codice è un metodo per utilizzare una firma digitale basata su certificato per un pezzo di software in modo che il sistema operativo e gli utenti possano determinarne la sicurezza. Solo il software corretto può utilizzare la firma digitale corrispondente.

Gli utenti possono scaricare e installare software in tutta sicurezza e gli sviluppatori proteggono la reputazione dei loro prodotti con la firma del codice. Tuttavia, hacker e distributori di malware utilizzano proprio questo sistema per ottenere codice dannoso tramite suite antivirus e altri programmi di sicurezza . Allora, cos'è il malware con firma codice e come funziona?

• Rimuovere completamente il software dannoso (malware) sui computer Windows 10
• I 10 tipi di malware più pericolosi per i conti bancari
• Ulteriori informazioni sul malware polimorfico e iperpolimorfico

Cos'è il malware Code Signed?

Quando il software è firmato digitalmente, significa che dispone di una firma digitale ufficiale. L'autorità di certificazione rilascia un certificato a un software per determinare che il software è legale e sicuro da usare.

Gli utenti non dovranno preoccuparsi perché il sistema operativo controllerà il certificato e verificherà la firma digitale. Ad esempio, Windows utilizza una catena di certificati che contiene tutti i certificati necessari per garantire la legittimità del software.

La catena di certificati contiene tutti i certificati necessari per certificare l'entità identificata dal certificato finale. In realtà, è costituito da un certificato terminale, un certificato CA intermedio e un certificato CA radice considerato attendibile da tutte le parti della catena. Ogni certificato CA intermedio nella catena contiene un certificato emesso dalla CA di un livello superiore. La CA radice emette certificati per se stessa.

Una volta che il sistema è attivo e funzionante, puoi fidarti del software, del sistema di firma del codice e della CA. Il malware è un software dannoso, non è attendibile e non ha accesso all'autorità di certificazione o alla firma del codice.

Gli hacker rubano i certificati dall'autorità di certificazione

Il software antivirus riconosce che il malware è dannoso perché influisce negativamente sul tuo sistema. Attiva avvisi, gli utenti segnalano problemi e il software antivirus può creare firme malware per proteggere altri computer utilizzando lo stesso motore antivirus.

Tuttavia, se i creatori di malware potessero firmare il malware utilizzando le firme digitali ufficiali, il processo sopra descritto non si verificherebbe. Invece, il malware Code-singed può entrare nel sistema attraverso il percorso ufficiale perché il software antivirus e il sistema operativo non rilevano nulla di pericoloso.

Secondo una ricerca Trend Micro, l'intero mercato del malware è focalizzato sul supporto dello sviluppo e della distribuzione di malware con firma codice. Gli operatori di malware hanno accesso a certificati validi utilizzati per firmare codice dannoso. La tabella seguente mostra la quantità di malware che utilizza la firma del codice per eludere il software antivirus da aprile 2018.

La ricerca di Trend Micro mostra inoltre che circa il 66% del malware dispone di firme digitali. Inoltre, esistono alcuni tipi specifici di malware che dispongono di più versioni di firme digitali come trojan , dropper e ransomware .

Da dove viene il certificato digitale di firma del codice?

I distributori e gli sviluppatori di malware hanno due modi per creare malware con firma in codice. Rubano certificati dall'autorità di certificazione direttamente oppure acquisendo o spacciandosi per un'organizzazione legittima e richiedendo un certificato alla CA.

Come puoi vedere, CA non è l'unico luogo preso di mira dagli hacker. I distributori con accesso a certificati legittimi possono vendere certificati affidabili firmati digitalmente a sviluppatori e distributori di malware.

Un gruppo di ricerca sulla sicurezza dell'Università Masaryk nella Repubblica Ceca e del Maryland Cybersecurity Center ha scoperto quattro organizzazioni che vendono certificati Microsoft Authenticode ad acquirenti anonimi. Una volta che uno sviluppatore di malware ha un certificato Microsoft Authenticode, può firmare qualsiasi possibile malware tramite la firma del codice e la protezione basata su certificato.

In altri casi, invece di rubare i certificati, gli hacker si infiltreranno nel server di creazione del software. Quando viene rilasciata una nuova versione del software, avrà un certificato legittimo e gli hacker sfruttano questo processo per aggiungere codice dannoso.

Esempio di malware firmato in codice

Allora, che aspetto ha il malware firmato in codice? Di seguito sono riportati tre esempi di questo tipo di malware.

• Malware Stuxnet : questo malware ha distrutto il programma nucleare iraniano utilizzando due certificati rubati e quattro vulnerabilità zero-day. Questi certificati sono stati rubati a due società JMicron e Realtek. Stuxnet ha utilizzato certificati rubati per evitare il nuovo requisito introdotto da Windows secondo cui tutti i driver richiedono la verifica.
• Violazione del server Asus: tra giugno e novembre 2018, gli hacker sono penetrati in un server Asus utilizzato dalle aziende per inviare aggiornamenti software agli utenti. Una ricerca condotta da Kaspersky Lab mostra che circa 500mila dispositivi Windows hanno ricevuto questo aggiornamento dannoso prima di essere rilevati. Senza rubare i certificati, questi hacker firmano certificati digitali Asus legittimi per il loro malware prima che il server del software distribuisca gli aggiornamenti di sistema.
• Malware Flame: variante del malware del modulo Flame che prende di mira i paesi del Medio Oriente, utilizzando certificati firmati in modo fraudolento per evitare il rilevamento. Gli sviluppatori di Flame hanno utilizzato un algoritmo di crittografia debole per falsificare i certificati digitali di firma del codice, facendo sembrare che Microsoft li avesse firmati. A differenza di Stuxnet, che doveva essere distruttivo, Flame è uno strumento di spionaggio, che cerca file PDF, file AutoCAD, file di testo e altri tipi di importanti documenti industriali.

Come evitare il malware firmato in codice?

Questo tipo di malware utilizza la firma del codice per evitare il rilevamento da parte di software e sistemi antivirus, pertanto la protezione dal malware con firma del codice è estremamente difficile. Aggiornare sempre software e sistemi antivirus è fondamentale, evitare di cliccare su link sconosciuti e controllare attentamente da dove proviene il collegamento prima di seguirlo. Fare riferimento all'articolo Rischi derivanti dal malware e come evitarlo .