出于安全性的考慮,SHA1已經遭到了各大瀏覽器廠商的拋棄,但是惡意軟件制作者們也在緊跟著證書授權機構的步伐,很快就推出了自帶SHA1和SHA2數字簽名的惡意軟件。在近期的一份報告中,網絡安全廠商賽門鐵克披露了其發(fā)現的一個新的惡意軟件家族。除了SHA1簽名之外,它竟然還自帶一個備用的SHA2證書簽名。
該惡意軟件名叫Carberp,作為一款金融木馬,它近期被探測到向丹麥、瑞典、以色列、埃塞俄比亞、美國等地區(qū)的用戶發(fā)起了攻勢。
賽門鐵克解釋到,該木馬是他們首次見到的向SHA2遷移的雙證書惡意軟件(SHA1在去年秋季被宣布不再安全)。
大多數軟件廠商(尤其是作為多數惡意軟件目標的冤大頭微軟)已經宣布從2016年1月1日起停止對SHA1簽名證書的支持,之后還會徹底移除對SHA1的支持。
不過在短時間內,SHA1還不會被徹底清除(不支持SHA2的時候,還是會降級到SHA1),因而惡意軟件的這種策略也是相當狡猾的。