Атака на DigiCert через файл заставки: что она меняет для доверия к подписанному ПО
Инцидент DigiCert в апреле 2026 года затронул цепочку доверия подписи кода: были получены коды инициализации для ограниченного числа сертификатов, часть которых использовали для подписи malware. Входной точкой стала ZIP архивная «картинка» в чате поддержки: внутри находился вредоносный файл Windows заставки с расшир...
DigiCert-Hack per Screensaver: Was die EV-Code-Signing-Zertifikate für die Sicherheit bedeutenKI-generiertes Symbolbild zum DigiCert-Screensaver-Angriff und dem Missbrauch von EV-Code-Signing-Zertifikaten.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: DigiCert-Hack per Screensaver: Was die EV-Code-Signing-Zertifikate für die Sicherheit bedeuten. Article summary: Der DigiCert Vorfall gefährdete vor allem die Code Signing Vertrauenskette: Angreifer erlangten EV Code Signing Zertifikate, von denen einige zum Signieren von Malware genutzt wurden; die identifizierten Zertifikate w.... Topic tags: cybersecurity, digicert, code signing, malware, certificates. Reference image context from search candidates: Reference image 1: visual subject "A targeted social engineering attack against DigiCert’s support channel led to the compromise of internal systems and the unauthorized issuance of EV Code Signing certificates. Acc" source context "DigiCert breached via malicious screensaver file - Help Net Security" Reference image 2: visual subject "DigiCert Revokes 60 EV Code Signi
openai.com
На первый взгляд это выглядело как обычный диалог с поддержкой: клиент якобы прислал скриншот проблемы. На деле ZIP-архив содержал вредоносный .scr-файл — формат, который Windows использует для экранных заставок. Согласно описанию инцидента, размещённому в Bugzilla Mozilla, злоумышленник связался с поддержкой DigiCert 2 апреля 2026 года через клиентский чат и передал такой архив под видом скриншота [12].
Дальше атака ударила не просто по рабочим станциям поддержки, а по более чувствительной зоне — доверию к подписи кода. По данным ThreatNoir, через скомпрометированные support-системы злоумышленники получили коды инициализации для ограниченного числа code signing-сертификатов; некоторые из них затем использовали для подписи вредоносного ПО [1].
Как развивалась атака
Сценарий был классическим social engineering, но с нетипично серьёзными последствиями. Help Net Security также описывает его как атаку на канал поддержки DigiCert: ZIP-файл был замаскирован под клиентский скриншот, а внутри находился вредоносный .scr-файл [2].
SecurityWeek сообщает, что вредоносное ПО заразило два endpoint-устройства: одно обнаружили 3 апреля, второе — 14 апреля [10]. С одного из заражённых устройств атакующие, по этим данным, смогли перейти во внутренний портал поддержки . Там у аутентифицированных аналитиков поддержки была ограниченная функция перехода в клиентские аккаунты; через неё можно было получить доступ к отдельным операциям, включая коды инициализации для ожидающих сертификатов .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Инцидент DigiCert в апреле 2026 года затронул цепочку доверия подписи кода: были получены коды инициализации для ограниченного числа сертификатов, часть которых использовали для подписи malware.
Входной точкой стала ZIP архивная «картинка» в чате поддержки: внутри находился вредоносный файл Windows заставки с расширением .scr.
Публичные материалы описывают компрометацию support систем и процесса выдачи сертификатов, но не указывают на компрометацию root или CA ключей DigiCert.
Главный вывод для защитников: цифровая подпись должна быть фактором анализа, а не автоматическим пропуском для файла.
Люди также спрашивают
Каков краткий ответ на вопрос «Атака на DigiCert через файл заставки: что она меняет для доверия к подписанному ПО»?
Инцидент DigiCert в апреле 2026 года затронул цепочку доверия подписи кода: были получены коды инициализации для ограниченного числа сертификатов, часть которых использовали для подписи malware.
Какие ключевые моменты необходимо проверить в первую очередь?
Инцидент DigiCert в апреле 2026 года затронул цепочку доверия подписи кода: были получены коды инициализации для ограниченного числа сертификатов, часть которых использовали для подписи malware. Входной точкой стала ZIP архивная «картинка» в чате поддержки: внутри находился вредоносный файл Windows заставки с расширением .scr.
Что мне делать дальше на практике?
Публичные материалы описывают компрометацию support систем и процесса выдачи сертификатов, но не указывают на компрометацию root или CA ключей DigiCert.
Какую связанную тему мне следует изучить дальше?
Продолжайте с «Airtel Africa отложила IPO Airtel Money до второй половины 2026 года: причина — не только геополитика», чтобы увидеть другой ракурс и дополнительные цитаты.
DigiCert disclosed that a threat actor compromised a customer support team member and obtained initialization codes for a limited number of code signing certificates, some of which were used to sign malware. The affected certificates were revoked within 24...
A targeted social engineering attack against DigiCert’s support channel led to the compromise of internal systems and the unauthorized issuance of EV Code Signing certificates. ... According to DigiCert’s incident report, a threat actor contacted the suppor...
Attackers recently compromised DigiCert’s support channel and delivered a malicious payload disguised as a screenshot. The malware infected two entry points, both of which had malfunctioning security solutions running at the time. Because DigiCert’s authent...
"The identified certificates were revoked within 24 hours of discovery and the revocation date set to their date of issuance. As a precautionary measure, pending orders within the window of interest were cancelled. Additional details will be provided in our...
BleepingComputer уточняет важную деталь: речь шла о кодах инициализации для уже одобренных, но ещё не доставленных EV code signing-сертификатов [5]. То есть атакующие не получили безграничный доступ ко всей инфраструктуре удостоверяющего центра, но смогли злоупотребить конкретным этапом процесса выдачи сертификатов.
Почему EV code signing так интересен атакующим
Code signing — это механизм, который помогает операционным системам, пользователям и средствам защиты оценивать происхождение и целостность программы. Если файл подписан известным издателем, он выглядит менее подозрительно, чем неизвестный бинарник без подписи. DigiCert как крупный удостоверяющий центр играет заметную роль в инфраструктуре доверия для интернет-коммуникаций и распространения ПО; его code signing-сертификаты используются разработчиками программного обеспечения [11].
Именно поэтому злоупотребление такими сертификатами опасно. ThreatNoir сообщает, что часть полученных сертификатов применялась для подписи malware [1]. CyberInsider также описывает инцидент как компрометацию внутренних support-систем и данных выдачи сертификатов, позволившую получить действующие EV code signing-сертификаты, часть которых позднее использовалась для подписи вредоносного ПО [11].
Для атакующих EV-сертификат — это не «магический пропуск», но сильный элемент маскировки. Vectra описывает этот приём шире: злоумышленники могут подписывать вредоносные файлы EV-сертификатами, используя повышенное доверие к EV-подписанным приложениям; организации, которые полагаются только на доверие к подписи, остаются уязвимыми [15].
Чего этот инцидент не доказывает
Важно не преувеличивать известные факты. Доступные публичные материалы говорят о компрометации рабочих мест поддержки, внутренних support-функций и кодов инициализации сертификатов [1][5][10][12]. Они не описывают компрометацию root-ключей DigiCert или ключей удостоверяющего центра.
Это не делает инцидент безобидным. Но по имеющимся данным его корректнее рассматривать не как полный захват центра сертификации, а как злоупотребление процессом поддержки и выдачи EV code signing-сертификатов [1][5][10].
Насколько велик был ущерб
Публичные оценки отличаются, потому что источники говорят о разных категориях сертификатов:
ThreatNoir пишет об ограниченном числе code signing-сертификатов, часть которых использовали для подписи malware [1].
Risky Business сообщает о 27 похищенных code signing-сертификатах, которые позднее применялись для подписи вредоносного ПО [8].
ThreatLocker говорит о 60 отозванных code signing-сертификатах в целом [3].
Поэтому при чтении цифр важно смотреть, о чём именно идёт речь: о полученных сертификатах, реально использованных в атаках или отозванных в рамках реагирования. Даже если масштаб был ограниченным, риск остаётся серьёзным: для кампании с malware иногда достаточно нескольких сертификатов, которые выглядят легитимно и помогают обойти поверхностные проверки доверия [1][15].
Как последствия сдерживали
По данным BleepingComputer, DigiCert отозвала идентифицированные сертификаты в течение 24 часов после обнаружения и установила дату отзыва равной дате их выдачи [5]. Ожидавшие заказы в затронутом временном окне были превентивно отменены [5]. ThreatNoir также сообщает, что затронутые сертификаты отозвали в течение 24 часов, а pending orders за соответствующий период аннулировали [1].
Отзыв сертификатов ограничивает дальнейшее злоупотребление, но не закрывает вопрос для защитников. SOC-командам и администраторам всё равно приходится оценивать подписанные файлы по совокупности признаков: данным сертификата, хешам, поведению процесса, сетевой активности и контексту threat intelligence. EV-подпись может быть частью доверительной картины, но не её финальным доказательством [15].
Побочный эффект: Microsoft Defender и ложные срабатывания
Инцидент усложнился ещё и шумом вокруг Microsoft Defender. BleepingComputer сообщал, что Defender ошибочно помечал сертификаты DigiCert как Trojan:Win32/Cerdigent.A!dha[5]. Daily.dev писал, что после обновления сигнатур 30 апреля Defender начал неверно определять легитимные root-сертификаты DigiCert как угрозу; позднее Microsoft выпустила исправление в Security Intelligence update 1.449.430.0, которое также восстанавливало удалённые сертификаты [7].
Для команд реагирования это создало неприятную практическую задачу: нужно было одновременно отличать реальный злоупотреблённый code signing, возможные образцы подписанного malware и ложные тревоги против легитимных сертификатов [5][7].
Что стоит вынести защитникам
Главный урок не в том, что подпись кода бесполезна. Наоборот, она остаётся важной частью цепочки доверия. Проблема в другом: подпись нельзя превращать в единственный критерий безопасности.
Практически это означает следующее:
Не принимать подпись за автоматическое разрешение. Валидная, в том числе EV-подпись, не должна сама по себе делать файл доверенным: атакующие умеют использовать EV-сертификаты для подписи вредоносных файлов [15].
Смотреть на детали сертификата. Важны издатель, серийный номер, цепочка, временная метка и статус отзыва; в случае DigiCert отзыв и привязка даты отзыва к дате выдачи были ключевыми мерами сдерживания [5].
Сильнее учитывать поведение файла. Хеши, дочерние процессы, сетевые соединения, попытки закрепления в системе и результаты sandbox-анализа должны рассматриваться вместе с подписью [15].
Считать support- и admin-порталы зонами высокого риска. Даже ограниченная функция поддержки может стать критичной, если через неё доступны клиентские аккаунты или коды инициализации сертификатов [10].
Разбирать сертификатные алерты без паники, но быстро. История с Defender показала, что предупреждение по сертификату может быть как признаком реальной атаки, так и ложным срабатыванием после обновления сигнатур [7].
Итог
Атака на DigiCert показала, насколько ценным для злоумышленников остаётся доверие к подписи кода. По доступным данным, речь шла об ограниченном инциденте вокруг support-систем, кодов инициализации и злоупотреблённых EV code signing-сертификатов, а не о компрометации root- или CA-ключей [1][5][10][12]. Но вывод всё равно жёсткий: в современной защите от malware цифровая подпись — это важный сигнал, а не окончательный вердикт.
Боливия заняла $1 млрд: инвесторы поверили Пасу, но выставили цену риска
Боливия вернулась на рынок облигаций: кредит доверия Родриго Пасу оказался условным
Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha Microsoft Defender began incorrectly flagging legitimate DigiCert root certificates as Trojan:Win32/Cerdigent.A!dha following a signature update on April 30th. The false positiv...
A threat actor gained access to DigiCert's backend and stole 27 code signing certificates they later used to sign malware. The incident took place last month and was traced back to a social engineering attack that successfully compromised two employees of D...
The malware infected two endpoints, one of which was identified on April 3, and another on April 14. DigiCert blames the late discovery of the second infection on the malfunctioning security solutions running on the endpoint. According to the company, the h...
DigiCert suffers breach, stolen certificates used to sign malware ... DigiCert has disclosed a security incident in which attackers compromised internal support systems and abused stolen certificate issuance data to obtain valid EV code signing certificates...
- Incident description: On 2026-04-02, a threat actor contacted DigiCert's support team via a customer chat channel and delivered a ZIP file disguised as a customer screenshot. The file contained a .scr executable with a malicious payload. CrowdStrike and o...
Leaked internal chat logs reveal a coordinated strategy in which Black Basta affiliates use Extended Validation (EV) certificates to sign malicious files . This tactic leverages the enhanced trust typically associated with EV-signed applications. Organizati...
Атака на DigiCert через файл заставки: что она меняет для доверия к подписанному ПО | Ответ | Studio Global
