Um ator de ameaça sofisticado invadiu o ambiente interno de suporte da DigiCert no início de abril de 2026, enganando analistas de suporte para executar um arquivo de screensaver malicioso disfarçado. O ataque resultou na obtenção de certificados EV de Assinatura de Código roubados, utilizados para distribuir a família de malware Zhong Stealer. A invasão explora uma engenharia social clássica que abusa do tratamento do Windows para arquivos .scr como executáveis nativos.
Descoberta e escopo da invasão
A investigação da DigiCert revelou que o ataque começou em 2 de abril de 2026, quando um ator de ameaça entrou em contato com a equipe de suporte ao cliente da DigiCert através de um canal de chat baseado no Salesforce. O atacante enviou repetidamente um arquivo ZIP malicioso disfarçado como uma captura de tela de um cliente. O arquivo continha um executável .scr (screensaver), uma técnica de engenharia social que explora a confiança do usuário em arquivos de screensaver.
A DigiCert detectou e isolou a máquina ENDPOINT1, operada por um analista de suporte, em 3 de abril de 2026. No entanto, a investigação teve uma lacuna crítica. Em 4 de abril de 2026, uma segunda máquina, ENDPOINT2, foi confirmada como comprometida pelo mesmo vetor de entrega. Um sensor CrowdStrike com defeito no ENDPOINT2 criou uma lacuna de detecção, permitindo que o comprometimento passasse despercebido durante a investigação inicial.
A DigiCert só descobriu a invasão do ENDPOINT2 em 14 de abril de 2026, uma janela de dez dias durante a qual o atacante teve acesso irrestrito. Isso permitiu que o adversário explorasse recursos internos da DigiCert para obter certificados de assinatura de código EV para clientes.
Vetor e exploração técnica
O vetor de ataque principal foi a execução de um arquivo .scr dentro de um arquivo ZIP. O Windows trata arquivos .scr como executáveis nativos, o que significa que eles podem ser executados diretamente sem a necessidade de um interpretador adicional. O atacante utilizou isso para enganar os analistas de suporte, que acreditavam estar visualizando uma captura de tela legítima.
Após a execução, o malware obteve acesso às credenciais do analista e explorou um recurso do portal de suporte ao cliente da DigiCert que permite que o pessoal de suporte autenticado visualize contas de clientes da perspectiva do cliente. Embora essa função seja restrita e não permita gerenciamento de conta ou acesso a chaves de API, ela expõe códigos de inicialização para pedidos de certificados EV de Assinatura de Código aprovados, mas não entregues.
A posse de um código de inicialização combinado com um pedido já aprovado é suficiente para obter e ativar um certificado válido, dando ao atacante um caminho direto para credenciais assinadas por CA legítimas. Isso permite que o malware Zhong Stealer seja assinado digitalmente, evadindo detecções de endpoint baseadas em assinatura.
Impacto e alcance dos certificados revogados
Entre 14 e 17 de abril de 2026, a DigiCert revogou 60 certificados EV de Assinatura de Código emitidos por quatro Autoridades Certificadoras: DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1, DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1, e Verokey High Assurance Secure Code EV.
Dos 60 certificados revogados, 27 foram explicitamente vinculados ao ator de ameaça identificado através de relatórios de problemas de certificados submetidos pela comunidade, e 16 foram descobertos durante a própria investigação da DigiCert. Os restantes 33 foram revogados como medida preventiva, onde o controle do cliente não pôde ser confirmado explicitamente.
Os certificados roubados foram usados para assinar digitalmente payloads que entregam o Zhong Stealer, uma família de malware anteriormente associada a grupos de cibercriminosos envolvidos em roubo de criptomoedas. Pesquisadores de segurança vincularam a campanha Zhong Stealer ao GoldenEyeDog (APT-Q-27), um grupo conhecido de cibercriminosos chineses, embora não esteja claro se este grupo foi diretamente responsável pela invasão da DigiCert.
Medidas de mitigação e resposta
A DigiCert implementou mudanças de código para bloquear usuários de suporte proxy de visualizar códigos de inicialização de Assinatura de Código tanto na camada de UI quanto na API. A empresa também desabilitou o Okta FastPass para acesso ao portal de suporte, reforçou os requisitos de MFA e suspendeu as contas dos analistas afetados. Pedidos pendentes de Assinatura de Código também foram cancelados para eliminar qualquer acesso residual do ator de ameaça.
Organizações que dependem de validação de assinatura de código devem verificar imediatamente se todos os 60 certificados revogados da DigiCert foram propagados em suas infraestruturas CRL/OCSP e não são confiáveis em nenhuma lista interna de permissões ou configurações de certificado fixado.
Indicadores de comprometimento (IOCs)
Sete endereços IP usados pelo atacante durante a instalação do certificado foram identificados: 82.23.186[.]8, 154.12.185[.]32, 45.144.227[.]12, 203.160.68[.]2, 154.12.185[.]30, 62.197.153[.]45, e 45.144.227[.]29. Organizações devem monitorar esses IPs em seus firewalls e sistemas de detecção de intrusão.
A tabela abaixo resume os indicadores chave e indicadores de comprometimento (IOCs) identificados:
| Indicador | Detalhes |
|---|---|
| Família de Malware | Zhong Stealer (RAT/Stealer híbrido) |
| Ator de Ameaça Atribuído | GoldenEyeDog / APT-Q-27 (não confirmado para invasão) |
| Tipos de Arquivo Maliciosos | Executável .scr dentro de arquivo ZIP |
| IPs do Atacante | 82.23.186[.]8, 154.12.185[.]32, 45.144.227[.]12, 203.160.68[.]2, 154.12.185[.]30, 62.197.153[.]45, 45.144.227[.]29 |
| Total de Certificados Revogados | 60 EV Code Signing |
| Certificados Atribuídos ao Atacante | 27 |
| Janela de Não Conformidade | 4 de abril – 17 de abril de 2026 |
Implicações para a cadeia de suprimentos de software
A invasão da DigiCert destaca um risco crítico na cadeia de suprimentos de software. Certificados de assinatura de código são fundamentais para garantir a integridade e autenticidade de software distribuído. Quando um CA é comprometido, a confiança em todo o ecossistema de software assinado por esse CA é abalada.
Para CISOs e equipes de desenvolvimento, é essencial revisar as políticas de validação de certificados e garantir que os certificados revogados sejam rapidamente propagados em todas as infraestruturas de validação. A confiança em assinaturas digitais deve ser constantemente verificada, especialmente em ambientes críticos.
O que os CISOs devem fazer agora
Os CISOs devem priorizar a verificação imediata de todos os certificados EV de Assinatura de Código emitidos pela DigiCert em suas organizações. Isso inclui revisar as listas de certificados revogados (CRL) e verificar o status OCSP para todos os certificados em uso. Além disso, é crucial revisar os logs de acesso ao portal de suporte da DigiCert para identificar qualquer atividade anômala.
A implementação de controles de segurança adicionais, como MFA obrigatória para acesso a portais de suporte e monitoramento de comportamento de usuários, é essencial para prevenir futuras invasões. A colaboração com fornecedores de CA e a adoção de práticas de segurança zero trust são fundamentais para mitigar riscos na cadeia de suprimentos de software.