Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un'immagine cinematografica in formato 16:9 mostra un primo piano di uno schermo digitale in frantumi, poggiato su un pavimento di cemento scuro e crepato. Al centro del display compare il logo DigiCert in bianco su sfondo blu, segnato da un drammatico punto d'impatto centrale. Da qui si irradiano crepe nitide e realistiche che attraversano il testo. L'atmosfera è cupa e iperrealistica, con un'illuminazione drammatica dall'alto che crea un forte contrasto. Piccoli frammenti di vetro e detriti tecnologici sono sparsi intorno al dispositivo, conferendo alla scena un'estetica da archeologia cibernetica con texture estremamente dettagliate e un profondo senso di decadenza digitale.

DigiCert sotto attacco: malware firmato con certificati ufficiali dopo una chat compromessa

7 Maggio 2026 10:59
In sintesi

Un file inviato in una chat di supporto ha compromesso la sicurezza dei certificati digitali di DigiCert, consentendo ad un attaccante di emettere certificati precompilati e firmare malware. L'azienda ha revocato 60 certificati e apportato modifiche per prevenire futuri attacchi.

Un semplice file in una chat di supporto si è trasformato in un grave problema per DigiCert. Un malintenzionato ha camuffato un archivio dannoso da “screenshot del cliente” ed è riuscito ad accedere ai sistemi utilizzati per l’emissione dei certificati digitali.

L’incidente è descritto in un rapporto di DigiCert. L’attacco è iniziato il 2 aprile 2026. Un utente malintenzionato sconosciuto ha contattato un rappresentante dell’assistenza tramite chat e ha inviato ripetutamente un archivio ZIP.

Al suo interno era nascosto un file eseguibile contenente un payload dannoso. I meccanismi di difesa hanno bloccato quattro tentativi, ma il quinto è andato a buon fine e una delle workstation è stata infettata.

Advertising

Il giorno successivo, il problema venne individuato e il sistema infetto venne isolato. Inizialmente si ritenne che la minaccia fosse stata eliminata. In seguito si scoprì che l’attaccante era riuscito a infiltrarsi in un altro computer, dove il sistema di sicurezza presentava un malfunzionamento e non era riuscito a rilevare l’intrusione.

Dopo aver ottenuto l’accesso al portale di supporto interno, l’attaccante ha sfruttato una funzionalità di servizio. Questa funzionalità consente ai dipendenti di accedere agli account dei clienti per assisterli nella configurazione. Sebbene non permetta la gestione degli account o l’inserimento di ordini, fornisce l’accesso a codici di inizializzazione speciali per i certificati di firma del codice .

Questi codici, unitamente a un ordine già approvato, consentono di ottenere un certificato precompilato. L’attaccante ha sfruttato questa opportunità e ha emesso diversi certificati per conto dei clienti. Alcuni di questi sono stati poi utilizzati per firmare malware della famiglia Zhong Stealer.

Complessivamente, DigiCert ha revocato 60 certificati. Di questi, 27 erano direttamente collegati alle azioni dell’attaccante, mentre i restanti sono stati revocati a scopo precauzionale. Tutti i certificati sono stati invalidati entro 24 ore dal rilevamento, con data di revoca coincidente con la data di emissione.

Il problema non risiedeva nel sistema di emissione dei certificati in sé, ma in una combinazione di fattori. La sicurezza a livello di endpoint non funzionava su uno dei computer, il portale di supporto mostrava dati sensibili ai dipendenti senza restrizioni e i codici di inizializzazione non erano considerati credenziali valide e non venivano nascosti.

Advertising

È stato inoltre scoperto che il canale di supporto consentiva l’invio di file senza restrizioni rigorose. Questo meccanismo si è di fatto trasformato in un comodo punto di accesso per un attacco.

L’azienda ha già apportato delle modifiche. L’accesso ai codici di inizializzazione è stato bloccato, i requisiti per l’autenticazione a più fattori sono stati inaspriti e il trasferimento di file nelle chat è stato limitato. Stanno inoltre rivedendo le impostazioni del sistema di sicurezza per evitare eventuali “punti ciechi” come quelli riscontrati con il secondo computer infetto.

DigiCert sostiene che l’attaccante non abbia ottenuto l’accesso ad altri sistemi né interferito con i processi di verifica dei clienti. Tuttavia, l’esperienza passata dimostra che anche gli strumenti di supporto interni possono diventare un punto critico se utilizzati per l’emissione di certificati digitali.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Carolina Vivianti 300x300
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance