Investigadores han detectado que ciberdelincuentes están abusando del servicio Microsoft Trusted Signing para firmar malware con certificados de corta duración (tres días), lo que les permite burlar filtros de seguridad y ganar confianza en SmartScreen.
¿Por qué es preocupante?
✅ Los ejecutables firmados parecen legítimos, engañando a los usuarios y soluciones de seguridad.
✅ Facilita la distribución de malware, ya que no se generan alertas de seguridad inmediatas.
✅ Los atacantes pueden evitar certificados EV (Extended Validation) que son más difíciles de obtener y revocar.
¿Cómo abusan del servicio de Microsoft?
1️⃣ Los atacantes utilizan Microsoft Trusted Signing, un servicio de firma digital basado en la nube lanzado en 2024.
2️⃣ Los certificados generados son válidos por solo tres días, pero los archivos firmados siguen siendo válidos hasta que se revoquen.
3️⃣ El malware firmado se distribuye en campañas activas, como:
– “Crazy Evil Traffers” (robo de criptomonedas).
– Lumma Stealer (robo de credenciales y datos).
Microsoft responde a la amenaza
Microsoft afirma que monitorea activamente el abuso de su servicio y revoca certificados comprometidos.
Las cuentas utilizadas en ataques son suspendidas para evitar nuevos abusos.
Los cambios en certificados EV han generado incertidumbre, lo que ha llevado a los atacantes a preferir el servicio de Microsoft por su facilidad de uso.
Recomendaciones de seguridad ⚠️
✅ Verificar la autenticidad de archivos firmados antes de ejecutarlos.
✅ Utilizar soluciones de seguridad avanzadas con detección de firmas digitales maliciosas.
✅ Monitorear actividad sospechosa en entornos empresariales.
✅ Microsoft debe mejorar la detección y aprobación de certificados para evitar su abuso.
¡No confíes ciegamente en archivos firmados!