Die Angreifer nutzen gestohlene oder über Scheinunternehmen erworbene Zertifikate, um die Installationsdateien für vermeintlich harmlose Tools wie PDF-Reader zu signieren. Dadurch wird die Installation weder von den Windows-AppLocker-Sicherheitsrichtlinien blockiert, noch erhält der Benutzer eine Warnmeldung.

Die Kampagne verbreitet sich hauptsächlich über Malvertising, bei dem Opfer auf manipulierte Websites geleitet werden, die legitime Tools anbieten sollen. Sobald diese Websites besucht werden, übernehmen die Angreifer die Browser der Opfer und leiten deren Suchanfragen auf von ihnen kontrollierte Websites um.

Aufgrund der Schwierigkeit und der langen Dauer des Widerrufsprozesses für die Zertifikate bleibt die Malware über längere Zeit aktiv und gefährlich. Dies verdeutlicht, wie riskant der Missbrauch von Code Signing-Zertifikaten sein kann, da sie dem Computer signalisieren, dass die Software vertrauenswürdig ist, auch wenn sie tatsächlich bösartig ist.

Der Missbrauch von Code Signing-Zertifikaten wird zu einem wachsenden Problem, da diese Maschinenidentitäten für die Authentifizierung und Autorisierung von Software essenziell sind. In den Händen von Cyberkriminellen können solche Zertifikate verwendet werden, um Malware unter einem vertrauenswürdigen Namen zu verbreiten.

Die zunehmende Verbreitung von Cloud-Technologien und der Einsatz von KI-gestützten Programmierassistenten verschärfen das Problem, weshalb der Schutz von Maschinenidentitäten, wie Code Signing-Zertifikaten, immer wichtiger wird.