В Chronicle придерживаются мнения, что подписанная цифровыми сертификатами вредоносная программа уже давно не признак правительственных хакеров или продвинутых групп киберпреступников. Специалисты сделали вывод, что злоумышленник всё чаще приобретают сертификаты у удостоверяющих центров. Большинство сертификатов было выдано удостоверяющим центром Comodo (Sectigo).
Вывод был сделан после исследования 3815 подписанных образцов вредоносного ПО, загруженных на VirusTotal за последний год. Отмечается, что эта выборка не отражает полную картину, так как фокус был на файлах Windows PE, исключались образцы, у которых менее 15 обнаружений на платформе, плюс отфильтровалось множество не совсем вредоносных файлов.
Хакеры злоупотребляют сертификатами Sectigo, Thawte, VeriSign, Symantec, DigiCert, GlobalSign, WoSign, Go Daddy, WoTrus, GDCA, Certum, E-Tugra, и Entrust. Впереди других удостоверяющих центров бывший Comodo, нынешний Sectigo. Его сертификатами были подписаны 1775 зловредов. Sectigo – это крупнейший мировой коммерческий удостоверяющий центр, сотрудничающий со многими реселлерами.
Всего шесть удостоверяющих центров выпустили сертификаты, которыми были подписаны 100 и более образцов малвари. Это 78% от всех обнаруженных экспертами вредоносов.
Единственный доступный удостоверяющим центрам механизм борьбы с такими случаями, это отзыв сертификата. На начало мая удостоверяющие центры отозвали 21% сертификатов, которыми злоупотребляли преступники.
