Uma nova campanha de malware alavancar certificados digitais roubados foi descoberto por pesquisadores de segurança na empresa ESET Cybersecurity. Os pesquisadores manchado a campanha de malware quando alguns de seus sistemas marcados vários arquivos como suspeito.
Pleiteia Malware com os certificados roubados
Descobriu-se que os arquivos sinalizadas foram assinados digitalmente através de um D-Link Corporation certificado de assinatura de código válida. O mesmo certificado exata havia sido usado para assinar não maliciosa significado software D-Link que o certificado foi provavelmente roubado, disseram os pesquisadores em seu relatório.
Depois de confirmar a natureza maliciosa do arquivo, nós notificado D-Link, que lançou sua própria investigação sobre o assunto. Como um resultado, o certificado digital comprometida foi revogada pela D-Link de julho 3, 2018.
A análise mostrou que há duas famílias de malware diferentes abusar do certificado - Pleiteia malwares que é um backdoor controlado remotamente, e uma senha relacionada roubar componente. De acordo com pesquisadores da TrendMicro, o backdoor Contendei é usado por um grupo de espionagem virtual conhecido como BlackTech.
Junto com o Pleiteia amostras de malware assinados com o certificado D-Link roubado, amostras assinados através de um certificado por uma empresa de segurança de Taiwan, Alterar Information Technology Inc, também foram descobertos. Parece que os hackers BlackTech ainda estão usando o certificado apesar de ter sido revogada em julho 4, 2017, um ano atrás.
A capacidade de comprometer diversas empresas de tecnologia baseada em Taiwan e reutilizar seus certificados de assinatura de código em futuros ataques mostra que este grupo é altamente qualificado e focado na região, os pesquisadores notaram.
Note-se que “os pleitear amostras de malware assinados são altamente ofuscado com código de lixo, mas o objetivo do malware é semelhante em todas as amostras: ele faz o download de um servidor remoto ou abre a partir do disco local um pequeno criptografado blob binário“. O blob binário contém shellcode criptografado, que serve para baixar o módulo Contendei backdoor definitiva.
Quanto à componente do ladrão de senhas, ele é usado especificamente para senhas colheita salvo da seguinte lista de aplicações populares:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Certificados roubado em Malware Distribuição Ainda uma tendência
No ano passado, pesquisadores da Venafi descobriu que o comércio ilegal de certificados de assinatura de código digital foi florescendo. Os certificados são utilizados principalmente para verificar produtos de software, provando seu status como legítimo. Se comprometida, estes certificados podem ser implantados para instalar malware em dispositivos e redes sem ser detectado.
A prova de que há agora um mercado criminoso significativa para os certificados de lança nosso sistema de autenticação inteiro para a internet em dúvida e aponta para uma necessidade urgente para a implantação de sistemas de tecnologia para combater o mau uso de certificados digitais, disseram pesquisadores.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: