استفاده آنتی‌ويروس جعلی از گواهينامه‌های سرقتی

شماره: IRCNE2013122051
تاريخ: 29/09/92

به گزارش مايكروسافت، يك برنامه آنتي‌ويروس جعلي كه بين كاربران دست به دست مي‌شود، حداقل از دوازده گواهينامه ديجيتالي امضاي كد استفاده مي‌كند كه نشان مي‌دهد مجرمان سايبري به شدت در حال نفوذ به شبكه‌هاي توسعه دهندگان نرم‌افزارها هستند.
اين برنامه كه Antivirus Security Pro نام دارد، نخستين بار در سال 2009 شناسايي شد و در طول سال‌ها با نام‌هاي مختلف به فعاليت خود ادامه داده است. مايكروسافت اين آنتي‌ويروس جعلي را با نام Win32/Winwebsec معرفي مي‌كند.
گواهينامه‌هاي ديجيتال كه توسط CA ها (Certification Authority) صادر مي‌شوند، توسط توسعه دهندگان نرم‌افزارها براي امضاي برنامه‌هاي نرم‌افزاري مورد استفاده قرار مي‌گيرند. به اين ترتيب مي‌توان تشخيص داد كه يك برنامه واقعاً متعلق به كدام نويسنده نرم‌افزار است.
درصورتي‌كه هكري به اطلاعات احراز هويت مربوط به استفاده از يك گواهينامه دست يابد، مي‌تواند برنامه‌هاي خود را با استفاده از آن امضا كند و در نتيجه به نظر مي‌رسد كه آن برنامه، متعلق به يك توليد كننده معتبر نرم‌افزار است.
به گفته مايكروسافت، نمونه‌هاي جمع‌آوري شده Antivirus Security Pro از گواهينامه‌هاي سرقتي صادر شده توسط CA هاي مختلف در نقاط مختلف جهان استفاده مي‌كنند.
اين گواهينامه‌ها براي نرم‌افزار نويساني در هلند، ايالات متحده آمريكا، روسيه، آلمان، كانادا و انگلستان و توسط CA هايي مانند VeriSign، Comodo، Thawte و DigiCert صادر شده‌اند.
استفاده از گواهينامه‌هاي سرقتي، تاكتيك جديدي نيست، اما معمولاً كار سختي است، چرا كه هكرها بايد به يك سازمان يا يك نهاد صادر كننده گواهينامه نفوذ نمايند.
يكي از اين گواهينامه‌ها تنها سه روز پيش از نمونه‌برداري مايكروسافت صادر شده بود كه اين مسأله نشان مي‌دهد كه توليد كنندگان اين بدافزار همچنان در حال سرقت گواهينامه‌هاي جديد هستند.
همچنين مايكروسافت هشدار داده است كه آنتي‌ويروس جعلي ديگري به نام Win32/FakePav نيز با استفاده از گواهينامه‌هاي سرقتي در حال انتشار است.