En ny malware kampagne udnytte stjålne digitale certifikater er blevet opdaget af sikkerhedseksperter på cybersikkerhed firma ESET. Forskerne opdagede malware kampagne, når nogle af deres systemer markeret flere filer som mistænkelig.
Bønfald Malware Brug af stjålne certifikater
Det viste sig, at de flagede filer digitalt underskrevet via et gyldigt D-Link Corporation kode-signering certifikat. Den nøjagtige samme certifikat var blevet brugt til at underskrive ikke-ondsindet D-Link-software betyder, at certifikatet er mest sandsynligt stjålet, forskerne sagde i deres rapport.
Efter at have bekræftet filens ondsindede natur, vi meddelt D-Link, der lancerede deres egen undersøgelse af sagen. Som et resultat, kompromitteret digitale certifikat blev tilbagekaldt af D-Link på juli 3, 2018.
Analysen viste, at der er to forskellige malware familier misbruger certifikatet - Bønfald malware, som er en fjernstyret bagdør, og en relateret password stjæler komponent. Ifølge forskere fra TrendMicro, den Bønfald bagdør bruges af en cyber-spionage gruppe kendt som BlackTech.
Sammen med den Bønfald malware prøver indgået med den stjålne D-Link certifikat, prøver underskrevet via et certifikat fra en taiwansk vagtselskab, Ændring af informationsteknologi Inc, er også blevet opdaget. Det fremgår, at de BlackTech hackere stadig bruger det certifikat, selv om den er blevet tilbagekaldt på juli 4, 2017, for et år siden.
Evnen til at gå på kompromis flere Taiwan-baserede teknologi virksomheder og genbruge deres kode-underskrive certifikater i fremtidige angreb viser, at denne gruppe er højt kvalificeret og fokuseret på dette område, forskerne bemærkede.
Det skal bemærkes, at “den underskrevne påberåbe malware prøver er stærkt korrumperet med junk kode, men formålet med malware er ens i alle prøver: det henter fra en ekstern server eller åbner fra den lokale disk en lille krypteret binær blob“. Den binære klat indeholder krypterede shellcode, der tjener til at downloade den endelige Bønfald bagdør modul.
Med hensyn til den tyvagtige komponent, det bruges specifikt til høst gemte adgangskoder fra følgende liste over populære programmer:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Stjålne Certifikater i Malware Distribution Stadig en Trend
Sidste år forskere på Venafi opdagede, at den ulovlige handel med digital kode underskrive certifikater var blomstrende. Certifikaterne er for det meste brugt til at verificere softwareprodukter, bevise deres status som legitim. Hvis kompromitteret, disse certifikater kan implementeres til at installere malware på enheder og netværk uden at blive opdaget.
Beviset for, at der nu er en betydelig kriminel marked for certifikater kaster vores hele systemet for internettet autentificering i tvivl og peger på et presserende behov for udbygning af teknologiske systemer til at imødegå misbrug af digitale certifikater, forskerne sagde.