Έχει περάσει μόνο ένας μήνας από τότε που η αρχή έκδοσης πιστοποιητικών Let’s Encrypt ξεκίνησε ένα beta πρόγραμμα διανομής δωρεάν πιστοποιητικών HTTPS για το κοινό, και οι hackers άρχισαν να κάνουν κατάχρηση της υπηρεσίας για τη διανομή malware μέσω φαινομενικά ασφαλών ιστοσελίδων.
Τον Δεκέμβριο, η εταιρεία ασφαλείας Trend Micro εντόπισε ορισμένους χρήστες στην Ιαπωνία που είχαν μολυνθεί από ένα κακόβουλο διακομιστή, ο οποίος φιλοξένησε το Angler Exploit Kit. Τα trojans επέτρεπαν στους hackers να αποκτήσουν απομακρυσμένη πρόσβαση στα μολυσμένα συστήματα χωρίς να το γνωρίζουν οι ιδιοκτήτες τους.
Η εταιρεία αναφέρει ότι οι malvertisers χρησιμοποίησαν μια τεχνική που ονομάζεται domain shadowing, με την οποία μπορούν να αποκτήσουν πρόσβαση σε ένα αξιόπιστο domain (όπως για παράδειγμα την κύρια ιστοσελίδα μιας τράπεζας). Έτσι μπορούν να οδηγήσουν τους χρήστες σε έναν δικό τους διακομιστή, που συγκαλύπτει τη δραστηριότητα υποκλοπής κωδικών πρόσβασης.
Για να είναι δε η προσπάθεια εξαπάτησης περισσότερο πιστευτή, χρησιμοποιούν ένα subdomain που προστατεύεται με το δωρεάν πιστοποιητικό ασφαλείας της Let’s Encrypt (HTTPS).
Στην περίπτωση της έρευνας από την Trend Micro, οι επιτιθέμενοι φιλοξενούσαν μια κακόβουλη διαφήμιση που φαινόταν να σχετίζεται με ένα νόμιμο domain.
Η εταιρεία αναφέρει ότι αυτό ήταν δυνατό, επειδή το Let’s Encrypt πριν εκδώσει νέα πιστοποιητικά ελέγχει τα domains από το Google safe browsing API. Αυτό φυσικά δεν σταματά τους εισβολείς για την απόκτηση νέου πιστοποιητικού και τη δημιουργία subdomains με κακόβουλο λογισμικό υπό την προστασία ενός νόμιμου domain.
Σύμφωνα με την έκθεση της Trend Micro, το περιστατικό αναδεικνύει τα πιθανά ζητήματα της υπηρεσίας Let’s Encrypt και καλεί την εταιρεία να είναι έτοιμη να ακυρώσει πιστοποιητικά που έχουν καταχραστεί.
