小心！黑客以假凭证过期通知散布恶意程序

小心！黑客以假凭证过期通知散布恶意程序

恶意软件假冒合法软件骗取用户上钩时有所闻，像是谎称成新版浏览器或新版Adobe Flash Player，让造访被骇网站的用户不疑有他下载。安全厂商卡巴斯基发现又有新招，有后门及木马程序假冒网站凭证过期的通知信息，诱使访客点击下载。

网页SSL/TLS凭证是由凭证机构（CA）签发，可验证网站身份不是钓鱼网站，以及在用户浏览器和网页服务器之间建立加密联机以确保信息的隐私性。因此SSL/TLS凭证是安全上网的关键，而启用SSL/TLS凭证的网站，就会显示HTTPS为开头的网址，Chrome、Firefox、Safari、Edge等浏览器，都已预设不支持HTTP的网站。

但最近卡巴斯基发现有黑客滥用此类凭证散布后门程序。用户连进被骇网站后，网页显示「安全凭证过期」的警告信息，告知需要更新网页凭证才能继续浏览，并以按键引导用户下载。卡巴斯基侦测，此类攻击最早出现于今年1月16日，现今已出现于多种主题网站上，从动物园到汽车零件经销商等。

研究人员分析，网站凭证过期的通知信息，并不是用户造访网站的实际内容，而是包在iFrame的页面，以jquery.js script复加在合法网站上。恶意网页内容则是由第三方C&C网站ldfidfa [.] pw加载。但从地址栏来看则仍然显示为合法网址。但如果用户点入，就会从恶意网站上传入名为Certificate_Update_v02.2020 .exe的档案，它其实是一个恶意shellcode，一经执行就会释出木马程序Buerak。另一种后门程序Mokes，在1月间也是用同样方式散布。

卡巴斯基指出，Buerak进入windows电脑后会执行程序、修改程序行程、窃取数据、还会经由机码潜伏在电脑中。而Mokes则是macOS/Windows后门程序，可执行代码、窃取数据或影音档案，并偷偷进行截图。

SSL凭证最近也成为资安关注焦点。免费凭证发行机构Let'sEncrypt发现，它所使用的凭证机构软件有臭虫，导致误发凭证，得撤消3百万个TLS/SSL凭证。另外，苹果、Mozilla和google也认为凭证效期太长不安全，因而计划将缩短支持的SSL/TLS凭证效期，这可能迫使网站更频繁更新凭证。