Una nuova campagna di malware sfruttando i certificati digitali rubati è stato scoperto da ricercatori di sicurezza presso la società di sicurezza informatica di ESET. I ricercatori hanno individuato la campagna di malware quando alcuni dei loro sistemi segnato diversi file come sospetto.
Invocare Malware Utilizzo dei certificati rubati
Si è scoperto che i file contrassegnati sono stati firmati digitalmente tramite un D-Link Corporation certificato di firma codice valido. Lo stesso certificato esatto era stato usato per firmare non dannoso software D-Link il che significa che il certificato è stato probabilmente rubato, i ricercatori hanno detto nella loro rapporto.
Dopo aver confermato la natura maligno del file, abbiamo avvertito D-Link, che ha lanciato la propria indagine sulla questione. Di conseguenza, il certificato digitale compromesso è stato revocato da D-Link luglio 3, 2018.
L'analisi ha mostrato che ci sono due diverse famiglie di malware che abusano del certificato - Plead il malware che è un backdoor controllato a distanza, e una password relativa rubare componente. Secondo i ricercatori di TrendMicro, la backdoor Plead è utilizzato da un gruppo spionaggio informatico noto come BlackTech.
Insieme con la Plead campioni di malware firmati con il certificato di D-Link rubato, campioni firmati mediante un certificato da una società di sicurezza di Taiwan, Cambiare Information Technology Inc, sono stati scoperti anche. Sembra che gli hacker BlackTech sono ancora utilizzando il certificato anche se è stata revocata nel luglio 4, 2017, un anno fa.
La capacità di compromesso diverse aziende tecnologiche con sede a Taiwan e riutilizzare i loro certificati di firma codice a futuri attacchi mostra che questo gruppo è altamente qualificato e focalizzata su quella regione, i ricercatori hanno notato.
Si dovrebbe notare che “le perorare campioni di malware firmati sono molto offuscati con il codice di spazzatura, ma lo scopo del malware è simile in tutti i campioni: che scarica da un server remoto o apre dal disco locale di un piccolo blob binario crittografato“. Il blob binario contiene shellcode criptato, che serve a scaricare il modulo finale Plead backdoor.
Per quanto riguarda la componente della password stealer, esso è utilizzato specificamente per il raccolto password salvate dal seguente elenco di applicazioni popolari:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Stolen Certificati in distribuzione Malware Ancora una tendenza
Lo scorso anno i ricercatori della Venafi hanno scoperto che il commercio illegale di certificati di firma codice digitale stava sbocciando. I certificati vengono per lo più utilizzati per verificare i prodotti software, dimostrando il loro status di legittimo. Se compromessa, questi certificati possono essere impiegati per installare malware sui dispositivi e reti senza essere rilevata.
La prova che v'è ora un mercato criminale significativo per i certificati getta il nostro sistema di autenticazione intero per Internet in dubbio e punti ad un bisogno urgente per lo sviluppo di sistemi tecnologici per contrastare l'abuso di certificati digitali, hanno detto i ricercatori.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: