Posté le février 16, 2023 à 7:32
DES HACKERS UTILISENT DE FAUX CERTIFICATS DE SIGNATURE DE CODE POUR SE FAIRE PASSER POUR EMSISOFT
Selon un rapport, des acteurs de la menace utilisent de faux certificats de signature de code pour se faire passer pour Emsisoft, une société de cybersécurité. Les hackers ont usurpé l’identité de l’entreprise pour cibler ses clients qui dépendent des produits et services de sécurité. Les cybercriminels utilisent l’usurpation d’identité pour contourner les défenses de sécurité de l’entreprise.
Des hackers se font passer pour Emsisoft
Les certificats de signature de code jouent un rôle important dans le maintien de la sécurité en ligne. Ces certificats sont comme des signatures numériques qui peuvent être utilisées pour signer une application. De cette façon, les utilisateurs, les systèmes d’exploitation et les logiciels peuvent authentifier que le logiciel n’a pas été compromis depuis que l’éditeur l’a signé.
Les acteurs de la menace ont essayé de tirer parti du processus d’authentification de la présence en ligne à l’aide de ce logiciel en créant de faux certificats. Les noms de ces certificats semblent être liés à une entité de confiance. Cependant, ces certificats ne sont pas valides, ce qui constitue une menace pour l’entité.
Emsisoft a publié un avis de sécurité avertissant qu’un de ses clients a été ciblé par des hackers qui ont utilisé un exécutable signé par un faux certificat Emsisoft. La société a ajouté qu’elle pense que l’attaque a été menée pour faire croire au client que toute détection effectuée était un faux positif, ce qui a permis au programme de continuer à fonctionner.
La déclaration faite par Emsisoft dans l’avis de sécurité indique que « l’organisation en question utilisait nos produits, et l’attaquant avait pour objectif d’amener cette organisation à autoriser une application que l’acteur de la menace avait installée et avait l’intention d’utiliser en faisant en sorte que sa détection apparaisse comme un faux positif. »
La société a expliqué que l’acteur de la menace déployait cette stratégie pour inciter ses clients à lancer une attaque ciblée. Le faux certificat de signature de code permet aux acteurs de la menace de mener des attaques avec des chances minimales de détection par les systèmes de sécurité.
Cependant, Emsisoft a déclaré que malgré le haut niveau de sophistication dont ont fait preuve les hackers menant ces attaques, l’attaque avait échoué et n’avait jamais affecté l’entreprise comme les hackers l’avaient espéré. La société a également déclaré que le logiciel de sécurité Emsisoft avait bloqué le fichier en raison d’une signature invalide. Néanmoins, elle a exhorté tous ses clients à rester vigilants et à s’assurer qu’ils ne subissent pas d’attaques similaires à l’avenir.
Les hackers ont utilisé les informations d’identification des employés pour obtenir un accès initial
Dans l’avis de sécurité, Emsisoft a déclaré qu’il était probable que les hackers aient obtenu l’accès initial au dispositif compromis en utilisant un RDP par forçage brutal. De plus, un tel accès aurait aussi pu être obtenu si le hacker avait volé les informations d’identification d’employés appartenant à l’organisation cible.
Après avoir accédé au terminal, l’attaquant a installé une application d’accès à distance open-source connue sous le nom de MeshCentral. Le système de sécurité fait confiance à cette application car elle est généralement utilisée pour des raisons authentiques.
Cependant, dans le cas récent, les hackers ont profité de la convivialité de l’application avec les produits de sécurité en signant un exécutable MeshCentral à l’aide d’un faux certificat d’Emsisoft. Le certificat prétendait provenir de la « Emsisoft Server Trusted Network CA ».
Emsisoft n’a pas donné de détails sur l’exécutable utilisé par les hackers. Cependant, Virus Total pense que l’exécutable est « smsse.exe ». Après que le produit de sécurité d’Emsisoft ait analysé le fichier, il a été marqué comme « inconnu » en raison de la fausse signature.
Cependant, il y avait une chance qu’un employé prenne l’avertissement pour un faux positif en raison de la signature du code et autorise l’exécution de l’application, ce qui donnait au hacker l’accès à l’appareil. Les hackers pouvaient alors utiliser l’accès à distance pour désactiver les protections de sécurité mises en place, voler des informations sensibles, voire déployer un ransomware.
L’avis d’Emsisoft a par ailleurs averti ses clients qu’ils ne devaient faire confiance aux exécutables qu’après avoir confirmé qu’un fichier n’était pas malveillant. En outre, il est nécessaire de contacter les fournisseurs de sécurité avant d’autoriser l’exécution d’un exécutable sur l’appareil sans signature valide.
Emsisoft a expliqué que l’incident a montré la nécessité pour les organisations de mettre en place plusieurs couches de protection afin de garantir qu’au cas où une couche n’offrirait pas la protection nécessaire, les autres s’en chargeraient.
Emsisoft a également suggéré aux administrateurs de systèmes de prendre des mesures supplémentaires pour garantir la sécurité. Il s’agit notamment de créer un mot de passe sur leur produit Emsisoft afin de garantir que les hackers ne le modifieront pas ou ne le désactiveront pas en cas de violation comme celle qui s’est produite avec les faux certificats.