Seorang peretas menggunakan sertifikat penandatanganan kode palsu yang menyamar sebagai perusahaan keamanan siber Emsisoft untuk menargetkan pelanggan yang menggunakan produk keamanannya, dengan harapan dapat melewati pertahanan mereka.
Sertifikat penandatanganan kode adalah tanda tangan digital yang digunakan untuk menandatangani aplikasi sehingga pengguna, perangkat lunak, dan sistem operasi dapat memverifikasi bahwa perangkat lunak tersebut tidak dirusak sejak penerbit menandatanganinya.
Pelaku ancaman mencoba mengambil keuntungan dari ini dengan membuat sertifikat palsu yang namanya tampaknya terkait dengan entitas yang dapat dipercaya, tetapi pada kenyataannya, bukan sertifikat yang valid.
Dalam penasihat keamanan baru, Emsisoft memperingatkan bahwa salah satu pelanggannya menjadi sasaran peretas menggunakan file yang dapat dieksekusi yang ditandatangani oleh sertifikat Emsisoft palsu. Perusahaan percaya ini dilakukan untuk mengelabui pelanggan agar berpikir bahwa deteksi apa pun adalah positif palsu dan untuk memungkinkan program berjalan.
“Kami baru-baru ini mengamati insiden di mana sertifikat penandatanganan kode palsu yang diduga milik Emsisoft digunakan dalam upaya untuk menyamarkan serangan yang ditargetkan terhadap salah satu pelanggan kami,” kata Emsisoft di penasehat keamanan.
“Organisasi yang dimaksud menggunakan produk kami dan tujuan penyerang adalah membuat organisasi itu mengizinkan aplikasi yang dipasang dan digunakan oleh pelaku ancaman dengan membuat pendeteksiannya tampak positif palsu.”
Sementara serangan itu gagal, dan perangkat lunak keamanan Emsisoft memblokir file tersebut karena tanda tangan yang tidak valid, perusahaan memperingatkan pelanggannya untuk tetap waspada terhadap serangan serupa.
Memalsukan Emsisoft untuk akses jarak jauh
Emsisoft mengatakan pelaku ancaman kemungkinan memperoleh akses awal ke perangkat yang disusupi melalui RDP paksa atau menggunakan kredensial curian milik karyawan dari organisasi yang ditargetkan.
Setelah mengakses titik akhir, penyerang mencoba menginstal MeshCentral, aplikasi akses jarak jauh sumber terbuka yang biasanya dipercaya oleh produk keamanan karena digunakan untuk tujuan yang sah.
Namun, eksekusi MeshCentral ini ditandatangani dengan sertifikat Emsisoft palsu yang mengaku berasal dari “Emsisoft Server Trusted Network CA.”
Sementara Emsisoft tidak membagikan detail tentang executable, BleepingComputer menemukan itu bernama ‘smsse.exe’ [VirusTotal]seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Ketika produk keamanan Emsisoft memindai file, itu menandainya sebagai “Tidak Dikenal” karena tanda tangan yang tidak valid dan mengkarantina file tersebut.
Namun, jika karyawan memperlakukan peringatan ini sebagai false positive karena nama tanda tangan digital, mereka mungkin mengizinkan aplikasi untuk berjalan, memungkinkan penyerang mendapatkan akses penuh ke perangkat.
Akses jarak jauh ini kemudian dapat digunakan untuk menonaktifkan perlindungan, menyebar secara lateral di dalam jaringan, mencuri data sensitif, dan berpotensi menyebarkan ransomware.
Emsisoft memperingatkan bahwa file yang dapat dieksekusi hanya boleh dipercaya setelah mengonfirmasi bahwa file tidak berbahaya dan menghubungi vendor keamanan sebelum mengizinkan file yang dapat dieksekusi dijalankan dengan tanda tangan yang tidak valid.
“Insiden ini menunjukkan perlunya organisasi untuk memiliki perlindungan berlapis sehingga, jika satu lapisan gagal memblokir serangan, lapisan lain akan melakukannya,” jelas Emsisoft.
Perusahaan juga menyarankan agar administrator sistem menyetel kata sandi pada produk Emsisoft mereka untuk mencegahnya dirusak atau dinonaktifkan jika terjadi pelanggaran, seperti percobaan ini.
