april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Dataintrång

DigiCert hackades via skärmsläckare angripare signerade malware med stulna certifikat

Blog Reading Time 5 Lästid / maj 11, 2026
DigiCert Breach Via Screensaver Enables Malware Signing, Microsoft Defender Chaos

DigiCert bekräftar att angripare bröt sig in i företagets interna supportportal den 2 april med hjälp av en skadlig skärmsläckarfil. Intrånget ledde till att 27 kodsigneringscertifikat utfärdades på bedrägliga grunder och senare användes för att signera skadeprogrammet Zhong Stealer. Händelsen utlöste en kedjereaktion som sträckte sig långt bortom det ursprungliga intrånget. Microsoft Defenders försiktiga respons på komprometteringen ledde dessutom till att legitima DigiCert-certifikat felaktigt flaggades som skadlig kod under tre dagar i början av maj, vilket resulterade i att betrodda certifikat automatiskt togs bort från Windows-system världen över.

Enligt SecurityWeek började attacken när en angripare kontaktade DigiCerts supportteam via företagets kundchatt och upprepade gånger skickade en skadlig ZIP-fil förklädd till en skärmdump. Filen innehöll en .scr-körbar fil, ett skärmsläckarformat som Windows behandlar som en vanlig körbar fil. CrowdStrike och andra försvar blockerade fyra på varandra följande försök, men det femte lyckades.

Ett telefonsamtal räckte inte denna gång

Attacken mot DigiCert skiljer sig från det mönster vi sett från andra sofistikerade grupper på senare tid. Medan grupper som Scattered Spider ofta använder social engineering och helpdesk-samtal för att återställa lösenord, satsade DigiCert-angriparna direkt på malware-leverans. Enligt Help Net Security infekterade den skadliga payloaden två av DigiCert enheter, där den andra förblev oupptäckt i nästan två veckor eftersom CrowdStrike EDR var felkonfigurerad och frånkopplad från central hantering.

De komprometterade systemen gav angriparna tillgång till DigiCerts interna supportportal, där de kunde se initialiseringskoder för väntande Extended Validation-certifikat för kodsignering. DigiCert medgav att ”innehav av initialiseringskoden, tillsammans med en godkänd beställning, i praktiken är tillräckligt för att generera och hämta motsvarande certifikat.” Den kombinationen gav angriparna allt som krävdes för att utfärda giltiga certifikat som skulle klara förtroendekontrollen på alla Windows-system globalt.

Certifikaten användes för att signera kinesisk malware

DigiCert återkallade 60 certifikat senast den 17 april, varav 27 direkt kopplades till angriparna. Enligt Cybersecurity News identifierades elva av certifikaten genom rapporter från säkerhetscommunityn som kopplade dem till malware, medan ytterligare sexton upptäcktes under DigiCerts interna utredning. De stulna certifikaten användes för att signera skadeprogram som levererade Zhong Stealer, ett verktyg för stöld av inloggningsuppgifter och kryptovaluta som säkerhetsforskare har kopplat till GoldenEyeDog (APT-Q-27), en kinesisk cyberkriminell grupp.

Attribueringen till kinesiska aktörer vilar på mer än bara malware-familjen. Angreppskedjan innehöll lockbeten i första steget samt nedladdning av ytterligare komponenter från molntjänster. De digitalt signerade binärfilerna var särskilt utformade för att undvika upptäckt av endpoint-skydd. Dessutom identifierades sju IP-adresser som användes under installation av certifikaten, även dessa kopplingar i sig inte utgör definitiva bevis för statlig inblanding.

Microsoft förvärrade konsekvenserna

Microsofts respons på DigiCert-intrånget skapade i praktiken en separat kris. Den 30 april lade Microsoft Defender till detekteringar för Trojan:Win32/Cerdigent.A!dha, riktade mot certifikat potentiellt kopplade till komprometteringen. Enligt BleepingComputer visade sig detekteringslogiken alltför bred och började flagga legitima DigiCert-rotcertifikat som allvarlig malware.

Falsklarmen började dyka upp den 3 maj och fortsatte tills Microsoft släppte säkerhetsintelligensuppdatering version 1.449.431.0 den 3 maj. Under dessa tre dagar satte Defender automatiskt certifikat från Windows förtroendedatabas i karantän, vilket störde HTTPS-anslutningar, verifiering av kodsignaturer och API-anrop som var beroende av DigiCert-certifikat. Microsoft bekräftade senare kopplingen mellan falsklarmen och DigiCert-incidenten och uppgav att de ”omedelbart lade till detekteringar för malware” för att skydda kunder men medgav att logiken var alltför bred.

Den dubbla störningen, först komprometterade certifikat som användes för att signera malware, sedan legitima certifikat som togs bort av säkerhetsprogramvara – visar hur intrång hos certifikatutfärdare kan skapa omfattande följdeffekter i den globala förtroendeinfrastrukturen.

Vad detta betyder för kodsigneringsförtroende

Extended Validation-certifikat för kodsignering representerar den högsta förtroendenivån som finns tillgänglig för mjukvaruutvecklare. När Windows stöter på en binärfil signerad med ett EV-certifikat visar det utvecklarens verifierade identitet och ger förhöjt förtroende. Genom DigiCert-komprometteringen kunde angriparna att signera malware med samma förtroendenivå, vilket effektivt kringgick certifikatbaserade säkerhetskontroller över miljontals Windows-system.

Detta är inte teoretisk skada. Alla organisationer som installerade programvara signerad av DigiCert-utfärdade certifikat mellan 2 april och 17 april bör behandla dessa binärfiler som potentiellt komprometterade tills de verifierats mot DigiCerts lista över återkallade certifikat. Den mest akuta åtgärden är nu retrospektiv hotjakt efter aktivitet kopplad till Zhong Stealer på system där malware kan ha körts under sken av att vara fullt betrodd programvara.

Referenser

  1. DigiCert breached via malicious screensaver file
  2. DigiCert Revokes Certificates After Support Portal Hack
  3. Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha
  4. DigiCert Hacked via Weaponized Screensaver File
  5. DigiCert hacked with a malicious screensaver file
  6. DigiCert Official Incident Report

This post is also available in: English

Related News

Canvas Breached: Inside the Hack That Exposed 275 Million Students

Canvas-bräckan: Inifrån attacken som exponerade 275 miljoner studenter

Cyber News Calendar icon maj 11, 2026
ShinyHunters Steals Student Data From 275 Million Canvas Users

ShinyHunters stjäl studentdata från 275 miljoner Canvas-användare

Cyber News Calendar icon maj 6, 2026

Kritisk sårbarhet i cPanel utnyttjades i månader före patch

En kritisk sårbarhet för autentiseringsförbikoppling i cPanel har utnyttjats aktivt sedan februari, två månader innan leverantören släppte en patch. CVE-2026-41940 har CVSS-poäng 9,8 och låter…

Cyber News Calendar icon maj 5, 2026

CISA listar nio år gammal Linux-bugg efter aktiva angrepp

CISA lade på fredagen till CVE-2026-31431 i sin katalog över Known Exploited Vulnerabilities, vilket bekräftar att en nio år gammal sårbarhet i Linux-kärnan utnyttjas i…

Cyber News Calendar icon maj 4, 2026

ShinyHunters hotar läcka data från Udemy, Zara och 7-Eleven

ShinyHunters påstår sig ha stulit 1,4 miljoner poster från lärplattformen Udemy och hotar att släppa datan tillsammans med stulen information från Zara och 7-Eleven. Brottsgruppen…

Cyber News Calendar icon april 28, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss