Une nouvelle campagne des logiciels malveillants exploitant les certificats numériques volés a été découvert par des chercheurs de sécurité au sein du cabinet d'ESET Cybersecurity. Les chercheurs ont repéré la campagne des programmes malveillants lorsque certains de leurs systèmes marqué plusieurs fichiers comme suspect.
Malware Plaider L'utilisation des certificats volés
Il est avéré que les fichiers ont été signés numériquement marqués par un valide D-Link Corporation certificat de signature de code. Le même certificat exact a été utilisé pour signer le logiciel D-Link non malveillant qui signifie que le certificat a été très probablement volé, les chercheurs dans leur rapport.
Après avoir confirmé la nature malveillante du fichier, nous avons informé D-Link, qui a lancé sa propre enquête sur la question. Par conséquent, le certificat numérique compromis a été révoqué par D-Link en Juillet 3, 2018.
L'analyse a montré qu'il existe deux familles de logiciels malveillants différentes abusant du certificat - Plaider les logiciels malveillants qui est une porte dérobée contrôlé à distance, et un mot de passe lié à voler composant. Selon les chercheurs de TrendMicro, la porte dérobée Plead est utilisé par un groupe de cyber-espionnage connu sous le nom BlackTech.
Avec les échantillons de logiciels malveillants Plaider signés avec le certificat D-Link volé, échantillons signés par un certificat par une société de sécurité taïwanaise, Changement de technologie de l'information Inc, ont également été découverts. Il semble que les pirates BlackTech utilisent encore le certificat, même si elle a été révoquée en Juillet 4, 2017, il y a un an.
La capacité à faire des compromis plusieurs entreprises technologiques basée à Taiwan et de réutiliser leurs certificats de signature de code dans des attaques futures montre que ce groupe est hautement qualifiée et concentrée sur cette région, les chercheurs ont noté.
Il convient de noter que “les échantillons signés Plaider de logiciels malveillants sont très brouillées avec le code indésirable, mais le but du malware est similaire dans tous les échantillons: il télécharge depuis un serveur distant ou ouvre à partir du disque local un petit blob binaire crypté“. Le blob binaire contient shellcode crypté, qui sert à télécharger le module de porte dérobée Plaider finale.
Quant au mot de passe composant stealer, il est utilisé spécifiquement pour la récolte mots de passe enregistrés dans la liste suivante des applications populaires:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Certificats volés dans la distribution Malware encore une tendance
L'année dernière, les chercheurs ont découvert à Venafi que le commerce illicite des certificats de signature de code numérique a été en pleine floraison. Les certificats sont principalement utilisés pour vérifier les produits logiciels, prouvant leur statut de légitime. Si compromis, ces certificats peuvent être déployés pour installer des logiciels malveillants sur les appareils et les réseaux sans être détectés.
La preuve qu'il ya maintenant un marché criminel important pour les certificats lance notre système d'authentification pour toute l'Internet dans le doute et les points à un besoin urgent pour le déploiement de systèmes technologiques pour contrer l'utilisation abusive des certificats numériques, chercheurs.