Trusted Signing: хакеры легализуют вирусы через официальный сервис Microsoft.

Как взломать систему доверия Windows за $10 в месяц.

Киберпреступники начали использовать сервис Microsoft Trusted Signing, чтобы подписывать вредоносные программы так, будто они безопасны и созданы надёжными компаниями. Это помогает обходить антивирусы и другие системы защиты, которые больше доверяют подписанным файлам.

Trusted Signing — это облачный сервис, который Microsoft запустила в 2024 году. Он позволяет разработчикам быстро подписывать свои программы с помощью короткоживущих сертификатов, срок действия которых — всего три дня. Подписанные таким образом файлы получают базовое доверие от системы Windows и SmartScreen, что помогает избежать предупреждений при запуске.

Злоумышленники подписывают вредоносные программы и распространяют их как легальные. Специалисты обнаружили несколько примеров, в том числе вредоносные файлы из кампаний Crazy Evil Traffers и Lumma Stealer. Файлы были подписаны сертификатами от центра сертификации Microsoft.

Хотя сертификаты действуют всего три дня, уже подписанные ими файлы продолжают считаться допустимыми, пока сертификат не будет отозван. Это даёт хакерам достаточно времени, чтобы распространить вредоносные файлы и заразить устройства.

Trusted Signing предлагает разработчикам удобный способ подписывать свои продукты — подписка стоит $9.99 в месяц. При этом сертификаты не выдаются напрямую, а создаются и используются через инфраструктуру Microsoft, что теоретически снижает риски компрометации. Однако именно такая архитектура даёт возможность быстро подписывать вредоносные файлы, особенно если аккаунт зарегистрирован на физическое лицо, что сделать проще.

Обычно преступники стараются заполучить более надёжные EV-сертификаты, которые дают высокий уровень доверия и помогают обойти защиту. Но получить их сложно: нужно либо украсть у компании, либо потратить много денег и времени на регистрацию поддельной фирмы. Новый путь через Trusted Signing оказался проще и дешевле.

Microsoft утверждает, что следит за активностью в своём сервисе и оперативно отзывают сертификаты, если видят злоупотребления. Компания говорит, что вредоносные файлы уже были обнаружены, а учётные записи злоумышленников заблокированы.

Специалисты отмечают, что теперь хакерам достаточно обычного сертификата от Microsoft, потому что система ему доверяет. А пройти проверку для получения намного легче, чем для EV-сертификата. Особенно просто зарегистрироваться как физическое лицо — это можно сделать без трёхлетней истории компании, которая требуется для корпоративной подписи.

Так злоумышленники получают удобный и доступный способ распространять вредоносные программы с минимальными препятствиями. Пока Microsoft реагирует на каждое нарушение вручную, остаётся риск, что злоупотребления продолжатся.

По материалам: https://www.securitylab.ru/new...