Sommario
Nel marzo 2025, l’ambiente della sicurezza informatica viene scosso dalla scoperta che attori malevoli stanno abusando della piattaforma Microsoft Trusted Signing per firmare malware, utilizzando certificati digitali validi solo per tre giorni. Questo servizio, concepito per offrire una soluzione sicura e controllata alla firma del codice, diventa paradossalmente uno strumento nelle mani di gruppi cybercriminali per distribuire codice dannoso in modo credibile e con livelli più elevati di fiducia agli occhi degli antivirus e dei filtri di reputazione come SmartScreen.
Certificati validi tre giorni ma efficaci per molto più tempo
I ricercatori hanno identificato numerosi campioni di malware firmati da certificati rilasciati sotto l’identità “Microsoft ID Verified CS EOC CA 01”. Anche se formalmente validi solo per 72 ore, questi certificati non invalidano retroattivamente gli eseguibili firmati, a meno che non vengano revocati esplicitamente. In altre parole, anche dopo la scadenza del certificato, il malware continua a essere considerato valido dal sistema operativo e da molte soluzioni di sicurezza, a meno che Microsoft non intervenga manualmente con la revoca.
La firma digitale, sebbene tecnicamente lecita, viene utilizzata per legittimare malware legati a campagne note, come quelle attribuite a Crazy Evil Traffers per il furto di criptovalute e al diffusissimo Lumma Stealer.
Microsoft Trusted Signing: una piattaforma progettata per aiutare gli sviluppatori, ora abusata
Lanciato nel 2024, il servizio Trusted Signing consente agli sviluppatori di firmare il proprio codice attraverso l’infrastruttura Microsoft, senza ricevere direttamente i certificati, riducendo così il rischio di furto. Con una sottoscrizione da 9,99 dollari al mese (circa 9,16 euro), gli utenti possono firmare eseguibili con certificati rilasciati da un’autorità certificatrice gestita da Microsoft, ottenendo benefici come l’integrazione con SmartScreen, la validazione dell’integrità e un miglior posizionamento nei controlli di reputazione.
Tuttavia, proprio per la facilità del processo di validazione, il servizio è diventato attrattivo anche per gli attori malevoli. Microsoft richiede che le aziende abbiano almeno tre anni di operatività per ottenere certificati aziendali, ma gli individui possono registrarsi più facilmente, firmando il codice a nome proprio, condizione che molti criminali informatici sembrano disposti ad accettare pur di ottenere l’accesso.
Un’alternativa più semplice agli EV certificate: meno costosa, più rapida e meno tracciabile
I certificati Extended Validation (EV) sono da sempre considerati il “Santo Graal” per i gruppi criminali: forniscono un elevato livello di fiducia agli antivirus e ai controlli di reputazione, ma sono difficili da ottenere e costosi. Richiedono la costituzione di entità legali fittizie, audit, e un investimento economico notevole. Inoltre, dopo l’uso malevolo, i certificati vengono rapidamente revocati.
Secondo il ricercatore Squiblydoo, intervistato da BleepingComputer, l’ambiguità sulle recenti modifiche agli standard EV e la complessità dei processi di ottenimento spingono molti attori a preferire soluzioni più dirette. Il Trusted Signing di Microsoft offre una via più comoda, meno soggetta a controlli invasivi, e sufficiente per ottenere la fiducia necessaria alla distribuzione del malware, soprattutto se combinato con altri stratagemmi come l’offuscamento o il wrapping del codice.
Microsoft risponde: revoche immediate e sospensione degli account coinvolti
Microsoft ha dichiarato di monitorare costantemente il proprio servizio di firma, attraverso sistemi di threat intelligence in tempo reale. In caso di rilevamento di abusi, l’azienda reagisce con revoche massive dei certificati coinvolti e la sospensione degli account legati all’attività sospetta. Nel caso specifico dei campioni identificati dai ricercatori, Microsoft ha già attivato le misure di revoca e gli antivirus della casa rilevano i file come pericolosi.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
Tuttavia, la prontezza di risposta non impedisce necessariamente la diffusione iniziale del malware. Considerando che un certificato può essere utilizzato per firmare numerosi eseguibili durante le 72 ore di validità e che questi continueranno a funzionare anche dopo la scadenza, il danno può propagarsi molto velocemente prima che le contromisure vengano implementate.
Implicazioni per la sicurezza e responsabilità delle piattaforme di firma
Il caso Trusted Signing riapre il dibattito sulla responsabilità delle grandi piattaforme tecnologiche nella gestione dei servizi crittografici. Offrire firma del codice come servizio accessibile comporta vantaggi per lo sviluppo software legittimo, ma espone anche a rischi sistemici se i controlli di onboarding non sono sufficientemente robusti. Il compromesso tra accessibilità e sicurezza si dimostra ancora una volta critico.
È essenziale che Microsoft e altre aziende che offrono servizi simili adottino strategie proattive di monitoraggio, magari integrando l’analisi comportamentale del codice firmato o imponendo restrizioni temporali più severe. La sola revoca ex post non basta a fermare la diffusione del malware in tempo reale.
