يستغل مجرمو الإنترنت منصة “التوقيع الموثوق” (Trusted Signing) من Microsoft لتوقيع ملفات تنفيذية خبيثة بشهادات قصيرة الأجل مدتها ثلاثة أيام.
لطالما سعى مجرمو الإنترنت للحصول على شهادات التوقيع الرقمي (Code-Signing Certificates) لأنها تُستخدم لجعل البرمجيات الخبيثة تبدو وكأنها صادرة عن شركة شرعية.
كما أن البرمجيات الموقعة لديها ميزة تجاوز الفلاتر الأمنية التي قد تمنع الملفات التنفيذية غير الموقعة أو تعاملها بتشكك أقل.
أهمية شهادات التوقيع الرقمي
تُعتبر شهادات التوقيع الرقمي ذات التحقق الممتد (Extended Validation – EV) بمثابة “الكأس المقدسة” لمجرمي الإنترنت، حيث تكتسب ثقة أكبر من برامج الأمن السيبراني بسبب عملية التحقق الصارمة.
بالإضافة إلى ذلك، يُعتقد أن هذه الشهادات تحسن سمعة الملفات في نظام SmartScreen، مما يساعد على تجاوز التنبيهات التي تظهر عادةً للملفات غير المعروفة.
ومع ذلك، يصعب الحصول على شهادات EV، حيث يتطلب ذلك سرقتها من شركات أخرى أو إنشاء شركات وهمية وإنفاق آلاف الدولارات لشراء واحدة.
علاوة على ذلك، بمجرد استخدام الشهادة في حملة برمجيات خبيثة، يتم عادةً إلغاؤها، مما يجعلها غير قابلة للاستخدام في الهجمات المستقبلية.
إساءة استخدام خدمة التوقيع الموثوق من Microsoft
لاحظ الباحثون الأمنيون مؤخرًا أن مجرمي الإنترنت يستخدمون خدمة “التوقيع الموثوق” من Microsoft لتوقيع برمجياتهم الخبيثة بشهادات قصيرة الأجل مدتها ثلاثة أيام.
تم توقيع عينات البرمجيات الخبيثة بواسطة “Microsoft ID Verified CS EOC CA 01″، وتنتهي صلاحية الشهادة بعد ثلاثة أيام من إصدارها.
ومع ذلك، تظل الملفات التنفيذية الموقعة بهذه الشهادة صالحة حتى يتم إلغاء الشهادة من قبل المُصدر.
تم اكتشاف العديد من العينات الأخرى المستخدمة في حملات برمجيات خبيثة مستمرة، بما في ذلك تلك المستخدمة في حملات سرقة العملات الرقمية “Crazy Evil Traffers” وحملات برمجية مثل “Lumma Stealer”.
ما هي خدمة التوقيع الموثوق من Microsoft؟
أطلقت Microsoft خدمة “التوقيع الموثوق” في عام 2024، وهي خدمة قائمة على السحابة تتيح للمطورين توقيع برامجهم بسهولة.
تقول Microsoft في إعلانها عن الخدمة:
“التوقيع الموثوق هو خدمة توقيع كاملة لتوقيع البرمجيات بتجربة سهلة للمطورين والمهنيين في مجال تكنولوجيا المعلومات، مدعومة من قبل سلطة إصدار شهادات تديرها Microsoft.
تدعم الخدمة سيناريوهات التوقيع الموثوق العامة والخاصة وتشمل خدمة وضع الطوابع الزمنية.”
تقدم المنصة خدمة اشتراك شهري بقيمة 9.99 دولارًا لتسهيل توقيع الملفات التنفيذية، مع توفير أمان إضافي.
يتم تحقيق هذا الأمان من خلال استخدام شهادات قصيرة الأجل يمكن إلغاؤها بسهولة في حالة الإساءة، وعدم إصدار الشهادات مباشرة إلى المطورين، مما يمنع سرقتها في حالة حدوث اختراق.
حماية Microsoft من الإساءة
لحماية الخدمة من الإساءة، تسمح Microsoft حاليًا بإصدار الشهادات فقط تحت اسم شركة إذا كانت تعمل لمدة ثلاث سنوات.
ومع ذلك، يمكن للأفراد التسجيل والحصول على الموافقة بسهولة أكبر إذا كانوا موافقين على إصدار الشهادات بأسمائهم.
سبب التحول إلى خدمة Microsoft
قال باحث أمني ومطور يُعرف باسم “Squiblydoo” لموقع BleepingComputer إنه يعتقد أن مجرمي الإنترنت يتحولون إلى خدمة Microsoft بسبب سهولتها.
وأضاف:
“أعتقد أن هناك عدة أسباب لهذا التغيير. لفترة طويلة، كانت شهادات EV هي المعيار، لكن Microsoft أعلنت عن تغييرات في شهادات EV.
ومع ذلك، فإن هذه التغييرات ليست واضحة لأحد: لا لمزودي الشهادات ولا للمهاجمين. وبسبب هذا الغموض، قد تكون شهادة توقيع عادية كافية لاحتياجات المهاجمين.
في هذا الصدد، فإن عملية التحقق للحصول على شهادات Microsoft أسهل بكثير من عملية التحقق للحصول على شهادات EV.”
رد Microsoft
عند الاتصال بـ Microsoft بشأن الإساءة، قالت الشركة إنها تستخدم مراقبة استخبارات التهديدات للعثور على الشهادات المسيء استخدامها وإلغائها.
وأضافت:
“نستخدم مراقبة استخبارات التهديدات النشطة للبحث عن أي إساءة أو سوء استخدام لخدمة التوقيع الخاصة بنا.
عند اكتشاف التهديدات، نتخذ إجراءات فورية مثل إلغاء الشهادات على نطاق واسع وتعليق الحسابات. تم اكتشاف عينات البرمجيات الخبيثة التي شاركتها بواسطة منتجاتنا المضادة للبرمجيات الخبيثة، وقد اتخذنا بالفعل إجراءات لإلغاء الشهادات ومنع المزيد من إساءة استخدام الحسابات.”
