File con firma digitale: può essere sempre considerato affidabile?

Zloader è un trojan bancario conosciuto già dal 2015 che è stato utilizzato in diverse campagne malware per svuotare i conti correnti dei malcapitati.
Si tratta di una minaccia particolarmente insidiosa perché gli aggressori utilizzano tecniche per sottrarsi all’analisi antimalware e all’azione degli altri software per la sicurezza informatica: una volta in esecuzione sul sistema, Zloader può rubare nomi utente e password e trasferirle verso server remoti sotto il controllo dei criminali informatici.

La diffusione di Zloader sta di nuovo crescendo, soprattutto in azienda: i ricercatori di Check Point hanno voluto indagare e sono riusciti a risalire al motivo della rinnovata popolarità della minaccia tra gli utenti business.

Golan Cohen spiega in una dettagliata analisi che Zloader viene da qualche tempo distribuito tra professionisti e nelle realtà d’impresa utilizzando un file d’installazione in formato MSI che viene presentato come il software Atera, strumento largamente utilizzato nel settore IT per monitorare e amministrare le macchine.

Al di là delle tattiche utilizzate dal malware per insediarsi sul sistema delle vittime, gli esperti di Check Point hanno scoperto che una libreria DLL (appContast.dll) contenente la firma digitale Microsoft è stata modificata per aggiungere al suo interno del codice dannoso.

Una firma digitale apposta su un file dovrebbe certificare che l’oggetto non è stato in alcun modo modificato e che esso viene distribuito nella stessa forma in cui era stato reso disponibile dallo sviluppatore originale.
Nel caso del file DLL in questione questo non accade: Check Point ha scoperto delle differenze sia nel checksum della libreria che nella dimensione della firma.

Nonostante quindi Windows segnali che la firma digitale applicata sulla libreria DLL non presenta problemi ed è da considerarsi legittima, il file riesce non soltanto a trarre in inganno il sistema operativo ma anche ad eludere i controlli dei principali software di sicurezza.

Microsoft è a conoscenza di questa lacuna di sicurezza dal 2012 (CVE-2020-1599, CVE-2013-3900 e CVE-2012-0151) e ha cercato di risolverla rilasciando policy per la verifica delle firme digitali sempre più severe. Tuttavia, per qualche motivo, queste policy rimangono disabilitate per impostazione predefinita. Tanto che Check Point ne consiglia l’abilitazione per rafforzare i controlli ed evitare aggressioni come quella che ha riportato in auge Zloader (vedere questo documento Microsoft al paragrafo For 64-bit versions of Microsoft Windows: si troverà la modifica da applicare sul registro di sistema per proteggere le versioni a 64 bit di Windows).