Diversos certificados digitales son usados para firmar malware

  • Seguridad
Malware avanzado para APT_foto

Investigadores de ESET identificaron muestras de malware que afectaron a certificados digitales de D-Link y Changing Information Technologies.

 

C  Quizá te interese...

Una investigación realizada por ESET ha permitido descubrir el uso de certificados digitales legítimos robados por un grupo criminal para propagar malware. Concretamente, la campaña de malware ha afectado a diversos certificados digitales de D-Link y Changing Information Technologies. ESET ya ha notificado a ambas organizaciones la situación, por lo que ambas han revocado los respectivos certificados digitales comprometidos.

 

Como ha explicado D-Link a IT Reseller, “nuestra compañía ha descubierto que dos de sus certificados de seguridad han sido puestos en riesgo. De inmediato estos certificados fueron revocados para impedir cualquier acceso no autorizado. Como otras compañías asiáticas, D-Link ha sido víctima de un grupo muy activo de ciber espionaje que ha usado el malware PLEAD para robar información de compañías y organizaciones basadas en Asia Oriental, particularmente en Taiwán, Japón y Hong Kong. Los dos certificados de D-Link afectados fueron revocados con carácter inmediato el día 3 de julio y han sido sustituidos por nuevos certificados que solucionan el problema”. Como indica, “la mayoría de usuarios de D-Link no se han visto afectados por este problema. Para D-Link la seguridad de sus productos de red es una prioridad. Dedicamos un equipo de recursos humanos a la investigación y resolución de problemas de seguridad, y estamos en contacto con las organizaciones que se encargan de detectar estas amenazas para iniciar los procesos adecuados para su resolución”. D-Link ha informado a sus usuarios a través de su página web corporativa, en la sección de soporte, con un área dedicada a las Alertas Técnicas (Tech Alerts).

 

El investigador de ESET Anton Cherepanov identificó dos familias de malware diferentes que utilizaron el certificado robado de D-Link durante algún tiempo. Una de estas familias de malware es Plead, un backdoor controlado remotamente, que ha tenido cierta relevancia recientemente, ya que el Centro de Coordinación de los Equipos de Respuesta ante amenazas de Japón (JPCERTCC) ha publicado un análisis que relaciona esta amenaza con el grupo BlackTech. Esta investigación previa demuestra que este malware ya se había usado anteriormente en ataques dirigidos a países del sudeste asiático, principalmente Taiwán. Por su parte, la amenaza especializada en el robo de contraseñas solo roba credenciales de Internet Explorer, Google Chrome, Mozilla Firefox y Microsoft Outlook.

 

El uso de un certificado digital legítimo para firmar malware, y no uno falso haciéndose pasar por uno legítimo, es algo poco común y bastante efectivo, ya que permite evadir algunos sistemas de detección.