Una nueva campaña de malware aprovechando certificados digitales robados ha sido descubierto por los investigadores de seguridad de la firma de seguridad cibernética ESET. Los investigadores detectaron la campaña de malware cuando algunos de sus sistemas de marcado varios archivos como sospechoso.
El malware se declaran usando los certificados robados
Resultó que los archivos marcados fueron firmados digitalmente a través de un certificado de firma de código D-Link Corporation válida. El mismo certificado exacto en que había sido utilizada para firmar no maliciosa de software D-Link lo que significa que el certificado fue más probable es robado, dijeron los investigadores en su informe.
Después de haber confirmado la naturaleza maliciosa del archivo, notificamos D-Link, que puso en marcha su propia investigación sobre el asunto. Como resultado, el certificado digital comprometida fue revocada por D-Link de julio 3, 2018.
El análisis mostró que hay dos familias de malware diferentes abusando del certificado - declaran software malicioso que es una puerta trasera controlada remotamente, y una contraseña relacionada robar componente. De acuerdo con investigadores de TrendMicro, la puerta trasera Contended es utilizado por un grupo de espionaje cibernético conocido como BlackTech.
Junto con el Contended muestras de malware firmado con el certificado de D-Link robada, muestras a través de un certificado firmado por una empresa de seguridad taiwanés, Cambio de la información Technology Inc, También se han descubierto. Parece que los piratas informáticos BlackTech siguen utilizando el certificado a pesar de que fue revocado de julio 4, 2017, Hace un año.
La capacidad de compromiso de varias empresas de tecnología con sede en Taiwán y reutilizar sus certificados de firma de código en ataques futuros muestra que este grupo es muy hábil y se centró en esa región, los investigadores observaron.
se debe notar que “las muestras de malware se declara firmados son muy ofuscado con el código de basura, pero el propósito de que el malware es similar en todas las muestras: se descarga desde un servidor remoto o se abre desde el disco local de un pequeño blob binario encriptado“. El blob binario contiene shellcode cifrada, que sirve para descargar el módulo de puerta trasera se declaran definitiva.
En cuanto al componente del ladrón de contraseñas, que se utiliza específicamente para la cosecha contraseñas guardadas en la siguiente lista de aplicaciones populares:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Los certificados robados en la distribución de malware Todavía una tendencia
El año pasado, los investigadores de la Venafi descubrieron que el comercio ilegal de certificados de firma de código digital fue floreciendo. Los certificados se utilizan sobre todo para verificar los productos de software, demostrando su condición de legítimo. Si comprometida, estos certificados se pueden implementar para instalar malware en los dispositivos y redes sin ser detectado.
La prueba de que ahora existe un mercado significativo para los certificados penal lanza nuestro sistema de autenticación de toda la Internet en duda y apunta a una necesidad urgente para el despliegue de sistemas de tecnología para contrarrestar el mal uso de los certificados digitales, investigadores dijeron.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: