استفاده آنتی‌ویروس جعلی از گواهینامه‌های سرقتی

به گزارش مایکروسافت، یک برنامه آنتی‌ویروس جعلی که بین کاربران دست به دست می‌شود، حداقل از دوازده گواهینامه دیجیتالی امضای کد استفاده می‌کند که نشان می‌دهد مجرمان سایبری به شدت در حال نفوذ به شبکه‌های توسعه دهندگان نرم‌افزارها هستند.

به گزارش سافت‌گذر به نقل از فن آوری اطلاعات ایران، این برنامه که Antivirus Security Pro نام دارد، نخستین بار در سال ۲۰۰۹ شناسایی شد و در طول سال‌ها با نام‌های مختلف به فعالیت خود ادامه داده است. مایکروسافت این آنتی‌ویروس جعلی را با نام Win۳۲/Winwebsec معرفی می‌کند.

گواهینامه‌های دیجیتال که توسط CA ها (Certification Authority) صادر می‌شوند، توسط توسعه دهندگان نرم‌افزارها برای امضای برنامه‌های نرم‌افزاری مورد استفاده قرار می‌گیرند. به این ترتیب می‌توان تشخیص داد که یک برنامه واقعاً متعلق به کدام نویسنده نرم‌افزار است.

درصورتی‌که هکری به اطلاعات احراز هویت مربوط به استفاده از یک گواهینامه دست یابد، می‌تواند برنامه‌های خود را با استفاده از آن امضا کند و در نتیجه به نظر می‌رسد که آن برنامه، متعلق به یک تولید کننده معتبر نرم‌افزار است.

به گفته مایکروسافت، نمونه‌های جمع‌آوری شده Antivirus Security Pro از گواهینامه‌های سرقتی صادر شده توسط CA های مختلف در نقاط مختلف جهان استفاده می‌کنند.

این گواهینامه‌ها برای نرم‌افزار نویسانی در هلند، ایالات متحده آمریکا، روسیه، آلمان، کانادا و انگلستان و توسط CA هایی مانند VeriSign، Comodo، Thawte و DigiCert صادر شده‌اند.

استفاده از گواهینامه‌های سرقتی، تاکتیک جدیدی نیست، اما معمولاً کار سختی است، چرا که هکرها باید به یک سازمان یا یک نهاد صادر کننده گواهینامه نفوذ نمایند.
یکی از این گواهینامه‌ها تنها سه روز پیش از نمونه‌برداری مایکروسافت صادر شده بود که این مسأله نشان می‌دهد که تولید کنندگان این بدافزار همچنان در حال سرقت گواهینامه‌های جدید هستند.

همچنین مایکروسافت هشدار داده است که آنتی‌ویروس جعلی دیگری به نام Win۳۲/FakePav نیز با استفاده از گواهینامه‌های سرقتی در حال انتشار است.