Malware met overheidscertificaat ontdekt

Onderzoekers bij beveiligingsbedrijf F-Secure hebben een stuk malware gevonden dat een digitaal certificaat heeft gekregen van een overheid.

Zo’n digitaal certificaat, in dit geval een code-signing certificate, dient als een soort geloofsbrief voor de software. Als het certificaat in orde is, zal de computer de software vertrouwen en gewoon uitvoeren.

Gestolen in Maleisië
Het is zeldzaam dat schadelijke virusachtige software zo’n certificaat meekrijgt. En het is zelfs nog zeldzamer dat het certificaat van een overheidsinstantie komt, maar F-Secure heeft er toch eentje ontdekt. De ondertekenende instantie is mardi.gov.my, het onderzoeks- en ontwikkelingsinstituut voor landbouw van Maleisië.

Het certificaat is volgens het Maleisische landbouwagentschap al een tijdje geleden gestolen. Het is ook al sinds september vervallen, zodat het niet meer voor authenticatie gebruikt kan worden.

Lek in Adobe Reader
De gevonden malware verspreidde zich via pdf-bestanden die een lek in Adobe Reader 8 misbruikten. De malware downloadt bijkomende schadelijke componenten van een server met worldnewsmagazines.org als naam. Sommige van die onderdelen waren ook gecertificeerd, maar dan wel door een entiteit die www.esupplychain.com.tw heet.

Vervalste of gestolen certificaten zijn een nieuwe plaag in de beveiligingswereld. Met zo’n certificaat kun je immers schadelijke software beter verborgen houden en verspreiden. Hackers richten hun pijlen dan ook steeds vaker op de uitgevers van certificaten. Denk maar eens terug aan het recente Diginotar-schandaal in Nederland.