Un file inviato in una chat di supporto ha compromesso la sicurezza dei certificati digitali di DigiCert, consentendo ad un attaccante di emettere certificati precompilati e firmare malware. L'azienda ha revocato 60 certificati e apportato modifiche per prevenire futuri attacchi.
Un semplice file in una chat di supporto si è trasformato in un grave problema per DigiCert. Un malintenzionato ha camuffato un archivio dannoso da “screenshot del cliente” ed è riuscito ad accedere ai sistemi utilizzati per l’emissione dei certificati digitali.
L’incidente è descritto in un rapporto di DigiCert. L’attacco è iniziato il 2 aprile 2026. Un utente malintenzionato sconosciuto ha contattato un rappresentante dell’assistenza tramite chat e ha inviato ripetutamente un archivio ZIP.
Al suo interno era nascosto un file eseguibile contenente un payload dannoso. I meccanismi di difesa hanno bloccato quattro tentativi, ma il quinto è andato a buon fine e una delle workstation è stata infettata.
Advertising
Il giorno successivo, il problema venne individuato e il sistema infetto venne isolato. Inizialmente si ritenne che la minaccia fosse stata eliminata. In seguito si scoprì che l’attaccante era riuscito a infiltrarsi in un altro computer, dove il sistema di sicurezza presentava un malfunzionamento e non era riuscito a rilevare l’intrusione.
Dopo aver ottenuto l’accesso al portale di supporto interno, l’attaccante ha sfruttato una funzionalità di servizio. Questa funzionalità consente ai dipendenti di accedere agli account dei clienti per assisterli nella configurazione. Sebbene non permetta la gestione degli account o l’inserimento di ordini, fornisce l’accesso a codici di inizializzazione speciali per i certificati di firma del codice .
Questi codici, unitamente a un ordine già approvato, consentono di ottenere un certificato precompilato. L’attaccante ha sfruttato questa opportunità e ha emesso diversi certificati per conto dei clienti. Alcuni di questi sono stati poi utilizzati per firmare malware della famiglia Zhong Stealer.
Complessivamente, DigiCert ha revocato 60 certificati. Di questi, 27 erano direttamente collegati alle azioni dell’attaccante, mentre i restanti sono stati revocati a scopo precauzionale. Tutti i certificati sono stati invalidati entro 24 ore dal rilevamento, con data di revoca coincidente con la data di emissione.
Il problema non risiedeva nel sistema di emissione dei certificati in sé, ma in una combinazione di fattori. La sicurezza a livello di endpoint non funzionava su uno dei computer, il portale di supporto mostrava dati sensibili ai dipendenti senza restrizioni e i codici di inizializzazione non erano considerati credenziali valide e non venivano nascosti.
Advertising
È stato inoltre scoperto che il canale di supporto consentiva l’invio di file senza restrizioni rigorose. Questo meccanismo si è di fatto trasformato in un comodo punto di accesso per un attacco.
L’azienda ha già apportato delle modifiche. L’accesso ai codici di inizializzazione è stato bloccato, i requisiti per l’autenticazione a più fattori sono stati inaspriti e il trasferimento di file nelle chat è stato limitato. Stanno inoltre rivedendo le impostazioni del sistema di sicurezza per evitare eventuali “punti ciechi” come quelli riscontrati con il secondo computer infetto.
DigiCert sostiene che l’attaccante non abbia ottenuto l’accesso ad altri sistemi né interferito con i processi di verifica dei clienti. Tuttavia, l’esperienza passata dimostra che anche gli strumenti di supporto interni possono diventare un punto critico se utilizzati per l’emissione di certificati digitali.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza:Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.