HP a identifié une vaste campagne ChromeLoader utilisant des certificats de signature de code valides pour contourner les politiques de sécurité de Windows et les avertissements faits aux utilisateurs, augmentant ainsi les chances d’infection. Pour rendre le malware plus difficile à détecter, les attaquants ont signé le fichier d’installation avec des certificats de signature de code valides. L’installation n’est alors pas bloquée par les politiques de sécurité d’AppLocker (l’application permettant la technologie intégrée dans Windows), et aucun avertissement n’est affiché à l’utilisateur. Cela signifie que les certificats de signature de code ont soit été volés à des entreprises légitimes, soit que les acteurs malveillants les ont obtenus dans le but de créer de faux certificats de signature valides.

Ces campagnes utilisent le « malvertising » pour guider les victimes vers des sites web bien conçus qui offrent des outils apparemment légitimes comme les lecteurs et les convertisseurs de PDF. La visite des sites infectés permettrait aux attaquants de prendre le contrôle des navigateurs de leurs victimes, leur permettant ainsi de rediriger les recherches vers des sites contrôlés par les attaquants. Selon l’émetteur du certificat, le processus de révocation peut prendre beaucoup de temps, parfois des mois – rendant le « malware » dangereux pendant de longues périodes.

" Les certificats de signature de code sont des identités machine incroyablement puissantes, et leur mauvaise utilisation par des attaquants est une source de préoccupation croissante. Ces certificats indiquent aux machines que le logiciel est un ami et non un ennemi, lui permettant d’être installé et exécuté sans déclencher d’alarme. Normalement, si un logiciel malveillant est détecté, la machine bloquerait l’installation – mais avec un certificat valide, même un code malveillant est considéré comme sûr. Cela montre à quel point ces identités machine peuvent être puissantes et dangereuses lorsqu’elles se trouvent entre de mauvaises mains. Le code malveillant signé par des certificats de code élimine la capacité d’arrêter un code non autorisé. Avec l’apparition de nouvelles méthodes d’attaque alimentées par l’IA, l’utilisation abusive des certificats de signature de code devient de plus en plus important.

S’ils sont volés – ou obtenus frauduleusement – les attaquants peuvent les utiliser pour distribuer des malwares sous une identité de confiance, rendant des attaques comme la campagne ChromeLoader identifiée par HP particulièrement difficiles à stopper. Nous l’avons vu avec des cas très médiatisés comme les certificats de signature de code de Nvidia sous Windows et la faille de SolarWinds, où des « malwares » signés par des certificats ont été installés sur des millions de machines, causant des ravages à l’échelle mondiale. »
La montée en puissance des hackers ciblant les identités machine, parce qu’ils authentifient et autorisent le code, les conteneurs et les applications à se connecter et à fonctionner, est un sujet important pour toutes les équipes de sécurité. Alors que les technologies « cloud-native » se développent et que les développeurs utilisent de plus en plus l’aide d’assistants codage IA, la nécessité de sécuriser les identités machine comme les certificats de signature de code devient plus urgente. Les experts appellent à une gestion centralisée des identités machine qui protège les entreprises, de la signature de code aux certificats TLS. Toujours selon Venafi, Ignorer ce conseil expose dangereusement les entreprises".