Podczas sprawdzania certyfikatów zauważono, że wartości mieszające, odnoszące się do podejrzanych plików są nieprawidłowe. Oryginalnym plikom są zawsze przypisane konkretne wartości mieszające. W tym przypadku było jasne, że podpis został skradziony, ponadto – podpis już wygasł. Co ciekawe fałszywy podpis zastosowany w tym przypadku wydaje się być skopiowany – o ironio! – z Kaspersky ZbotKiller – narzędzia do usuwania złośliwego oprogramowania.
Po dalszych badaniach potwierdzono, że podejrzane pliki rzeczywiście są szkodliwe. Były to odmiany złośliwego oprogramowania ZeuS(Zbot) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM oraz TROJ_ZBOT.KJT.
To nie pierwszy przypadek kradzieży podpisów cyfrowych przez cyberprzestępców. Pierwsze złośliwe oprogramowanie STUXNET zostało podpisane przy użyciu certyfikatu firmy Realtek Semiconductors Corp., a późniejsze jego warianty z podpisem firmy JMicron Technology. Wydaje, że jest to rosnący trend wśród cyberprzestępców. Dlatego użytkownicy powinni pamiętać, aby zawsze sprawdzić szczegóły podpisów i zapewnienia, że są ważne.
Certyfikaty wielu firm mogą być kopiowane przez cyberprzestępców, a firma której podpis skopiowano nie mogła temu zapobiec. Niestety jest bardzo prawdopodobne, że będziemy obserwować więcej takich zdarzeń w przyszłości – podsumowali analitycy Trend Micro.
Trend Micro poinformowało firmę Kaspersky o wynikach swojej analizy.