Οι χάκερς χρησιμοποιούν το ChromeLoader για να δημιουργήσουν ψεύτικες εταιρείες και ιστότοπους, καθοδηγώντας ανυποψίαστα θύματα μέσω πλαστών εργαλείων όπως αναγνώστες PDF και μετατροπείς αρχείων. Αυτή η κακόβουλη δραστηριότητα γίνεται όλο και πιο εξελιγμένη, καθώς οι επιτιθέμενοι χρησιμοποιούν πιστοποιητικά code-signing και τεχνικές malvertising για να παρακάμπτουν τις πολιτικές ασφαλείας και να διαδίδουν κακόβουλο λογισμικό.
Χρήση πιστοποιητικών code-signing και malvertising στις επιθέσεις
Σε πρόσφατη αναφορά της HP Wolf Security, αποκαλύφθηκε μια μεγάλη εκστρατεία που βασίζεται στο ChromeLoader και χρησιμοποιεί έγκυρα πιστοποιητικά code-signing. Αυτή η τεχνική επιτρέπει στους χάκερς να παρακάμπτουν τις πολιτικές ασφαλείας των Windows και να διαδίδουν κακόβουλο λογισμικό μέσω πλαστών αρχείων τα οποία προορίζονται για τη λήψη και εγκατάσταση δημοφιλών προγραμμάτων.
Οι επιτιθέμενοι χρησιμοποιούν διαφημίσεις τύπου malvertising για να κατευθύνουν τα θύματα σε καλοσχεδιασμένους ιστότοπους, οι οποίοι φαίνεται να προσφέρουν νόμιμα εργαλεία, όπως αναγνώστες PDF και μετατροπείς αρχείων. Μόλις οι χρήστες επισκεφθούν αυτούς τους ιστότοπους, εγκαθίσταται κακόβουλο λογισμικό στα προγράμματα περιήγησής τους, επιτρέποντας στους εισβολείς να ανακατευθύνουν αναζητήσεις σε ιστότοπους που ελέγχουν οι ίδιοι.
Δημιουργία ψεύτικων εταιρειών για την επικύρωση πιστοποιητικών
Οι χάκερς, σύμφωνα με την έκθεση, δημιουργούν ψεύτικες εταιρείες για να αποκτήσουν έγκυρα πιστοποιητικά code-signing, κάτι που δυσκολεύει τον εντοπισμό του κακόβουλου λογισμικού από τις παραδοσιακές μεθόδους ασφαλείας. Με την υπογραφή του λογισμικού με αυτά τα πιστοποιητικά, το κακόβουλο λογισμικό θεωρείται ασφαλές από τα συστήματα ασφαλείας και εγκαθίσταται χωρίς να εμφανιστούν προειδοποιήσεις στους χρήστες.
Ευρεία διάδοση κακόβουλου λογισμικού μέσω πλαστών εγκαταστάσεων λογισμικού επιτρέπει στους επιτιθέμενους να στοχεύσουν μεγάλο αριθμό θυμάτων, χρησιμοποιώντας δημοφιλείς λέξεις-κλειδιά στις μηχανές αναζήτησης, όπως “PDF converter” ή “ψηφιακούς αναγνώστες εγχειριδίων για συσκευές”.
Η συμβολή της τεχνητής νοημοσύνης στις επιθέσεις
Σύμφωνα με την έκθεση, η τεχνητή νοημοσύνη (AI) παίζει σημαντικό ρόλο στην ανάπτυξη αυτών των επιθέσεων. Τα σενάρια που χρησιμοποιούνται στις καμπάνιες κακόβουλου λογισμικού παρουσιάζουν ενδείξεις ότι έχουν δημιουργηθεί με εργαλεία AI για να διευκολύνουν την απόκτηση έγκυρων πιστοποιητικών και την επιτάχυνση των επιθέσεων.
Όπως αναφέρει η HP Wolf, αυτή η χρήση της τεχνητής νοημοσύνης μειώνει το επίπεδο τεχνογνωσίας που χρειάζονται οι εγκληματίες για να αναπτύξουν αποτελεσματικές επιθέσεις, καθιστώντας τις επιθέσεις πιο προσιτές.
Το αυξανόμενο πρόβλημα των πιστοποιητικών code-signing
Η εκμετάλλευση των πιστοποιητικών code-signing έχει γίνει μια από τις πιο επικίνδυνες πρακτικές που χρησιμοποιούν οι επιτιθέμενοι στον κυβερνοχώρο. Αυτά τα πιστοποιητικά, όταν παραβιάζονται ή κλέβονται, επιτρέπουν στους εισβολείς να διανείμουν κακόβουλο λογισμικό με το προσωπείο του ασφαλούς λογισμικού.
Ο Kevin Bocek, επικεφαλής καινοτομίας της Venafi, σημειώνει ότι τα πιστοποιητικά code-signing είναι από τις πιο ισχυρές ταυτότητες μηχανών. Εάν αυτά κλαπούν ή αποκτηθούν με δόλο, μπορούν να χρησιμοποιηθούν για τη διανομή κακόβουλου λογισμικού με αξιόπιστο όνομα, καθιστώντας ιδιαίτερα δύσκολη την αντιμετώπιση αυτών των επιθέσεων.
Παραδείγματα παραβιάσεων υψηλού προφίλ
Η καμπάνια ChromeLoader είναι μόνο μία από τις περιπτώσεις στις οποίες έχει χρησιμοποιηθεί code-signing για επιθέσεις. Το 2022, η παραβίαση του Nvidia οδήγησε στη διαρροή των πιστοποιητικών της εταιρείας, ενώ η παραβίαση του SolarWinds προκάλεσε μαζικές παγκόσμιες αναταραχές όταν κακόβουλο λογισμικό εγκαταστάθηκε σε εκατομμύρια συστήματα.
Αυτές οι επιθέσεις έχουν αναδείξει την ανάγκη για αυστηρότερα μέτρα ασφαλείας όσον αφορά την ταυτότητα των μηχανών, καθώς και για αποτελεσματική προστασία των πιστοποιητικών code-signing και των συστημάτων TLS.
Η ανάγκη για ενισχυμένη προστασία των ταυτοτήτων μηχανών
Οι ειδικοί στον τομέα της ασφάλειας προειδοποιούν ότι η παραμέληση της προστασίας των ταυτοτήτων μηχανών αφήνει τις εταιρείες ευάλωτες. Καθώς η τεχνολογία του cloud αναπτύσσεται και οι προγραμματιστές χρησιμοποιούν όλο και περισσότερο βοηθούς AI, η προστασία αυτών των ταυτοτήτων, όπως τα πιστοποιητικά code-signing, θα πρέπει να αποτελέσει προτεραιότητα.
Ο Bocek υποστηρίζει ότι η ασφάλεια της ταυτότητας των μηχανών πρέπει να ενισχυθεί μέσω μιας ολοκληρωμένης προσέγγισης που περιλαμβάνει τον έλεγχο της ταυτότητας σε όλα τα επίπεδα, από τα code-signing πιστοποιητικά έως τα TLS.
Με τη χρήση πιστοποιητικών code-signing και τεχνικών malvertising, οι χάκερς συνεχίζουν να αυξάνουν την πολυπλοκότητα των επιθέσεών τους, ενώ η τεχνητή νοημοσύνη διευκολύνει την εξάπλωση αυτών των επιθέσεων. Για την προστασία από αυτές τις απειλές, οι εταιρείες πρέπει να επενδύσουν στην ενίσχυση της ασφάλειας των ταυτοτήτων των μηχανών τους.
