Как отметил репортер Softpedia, указав на неприятную находку Trend Micro, новые возможности, появившиеся с запуском УЦ Let’s Encrypt, помогают защитить коммуникации не только владельцам легитимных ресурсов, но также злоумышленникам. Бесплатный сервис сертификации в рамках проекта Let’s Encrypt был запущен в режиме бета-тестирования 3 декабря, а 21-го эксперты обнаружили сервер с вредоносной рекламой, использующий SSL-сертификат, выданный новым удостоверяющим центром.

Напомним, некоммерческий проект Let’s Encrypt, объединивший EFF, Mozilla, Cisco, Akamai и университетских исследователей, стартовал в 2014 году. Его основной задачей является ускорение и облегчение перевода онлайн-ресурсов на защищенный протокол HTTPS. К сожалению, благое начинание, как и следовало ожидать, оказалось палкой о двух концах.

Обнаруженная Trend Micro вредоносная кампания использовала законно полученный сертификат Let’s Encrypt (выданный 21 декабря на три месяца) для шифрования трафика в поддомене, специально созданном для размещения рекламных баннеров-редиректоров. Примечательно, что для пущей маскировки вредоносная реклама была тематически связана с легитимным доменом, в котором обосновались злоумышленники. Часть скриптового кода, использовавшегося для перенаправления посетителей на целевые страницы с эксплойтами, была вынесена из JavaScript-файла в .GIF, что также должно было затруднить обнаружение вредоносной активности.

По свидетельству Trend Micro, основную часть трафика в поддомене злоумышленников генерировали жители Японии, подавая до 500 тыс. запросов в сутки. Отсюда их перенаправляли на эксплойт-площадки Angler с целью засева банкера Vawtrack.

Комментируя находку Trend Micro, журналисты Softpedia отмечают, что распространители вредоносной рекламы и ранее пытались скрыть свой трафик, используя шифрование, однако с этой целью они обычно покупали краденые SSL-сертификаты на черном рынке. Такие злоупотребления со временем выявлялись, и скомпрометированный сертификат отзывался издателем. Запуск УЦ Let’s Encrypt предоставил злоумышленникам возможность получить сертификат законным путем, причем бесплатно.

На руку им также сыграл тот факт, что при выдаче сертификатов Let’s Encrypt проверяет на благонадежность (по базе Google Safe Browsing) лишь базовый домен, но не субдомены, которые могут быть созданы даже без ведома владельца основного домена. Кстати, некоторые УЦ даже и такой проверки не делают.

Участники Let’s Encrypt уже предупреждены об абьюзе; вредоносная активность, наблюдаемая Trend Micro, упала до нуля 31 декабря.

Категории: Кибероборона