Emsisoft ha informato che un suo certificato digitale fake è stato adoperato per camuffare un attacco contro un cliente. L’obiettivo era quello di far credere che la rilevazione del certificato fosse un falso positivo. Per fortuna, però, l’attacco è stato bloccato per tempo utile dal sistema di sicurezza dell’azienda.
Emsisoft: accesso remoto con certificati digitali falsi
Emsisoft non ha ancora compreso come sia avvenuto l’accesso iniziale, ma è stato ipotizzato un attacco di forza bruta su RDP (Remote Desktop Protocol) o l’uso di credenziali rubate.
Una volta ottenuto l’accesso al sistema, i cybercriminali hanno installato il software open source MeshCentral che consente l’accesso remoto. L’eseguibile del tool era firmato con il certificato “Emsisoft Server Trusted Network CA”. Nelle proprietà del file viene chiaramente riportato che il certificato non è valido, ma l’utente tende a credere possa trattarsi di un falso positivo, in special modo se già fa uso di software Emsisoft.
Consentendo l’esecuzione, i criminali informatici riescono a ottenere il controllo totale del computer e, dunque, possono effettuare in maniera praticamente indisturbata disparate attività, come la disattivazione dell’antivirus, l’installazione di malware e il furto dei dati ritenuti sensibili.
Per evitare di andare incontro a situazioni del genere è sempre bene installare sul proprio computer un buon software per la sicurezza generale, come nel caso di Norton 360 Premium che è compatibile con tutti i più diffusi sistemi operativi e dispositivi e che molto spesso viene proposto in forte sconto rispetto a quello che è il prezzo d’origine.