Páginas web-Descubren campaña de malware que robó certificados digitales de D-Link

Desde el Laboratorio de Investigación de compañía especializada en detección proactiva de amenazas ESET identificaron que un grupo de ciberespionaje, altamente cualificado, a través de una operación malware robó y utilizó certificados digitales de compañías tecnológicas taiwanesas como D-Link y Changing Information Technologies; afectando en parte sus sistemas y páginas web.

ESET descubrió la campaña de malware cuando sus sistemas detectaron varios archivos sospechosos. Los mismos fueron firmados digitalmente utilizando un certificado válido para la firma de código perteneciente a D-Link Corporation. Lo que se identificó es que el mismo certificado fue utilizado para firmar un software legítimo de D-Link, lo que evidenciada la posibilidad de que el certificado fuera robado.

El análisis identificó dos familias de malware diferentes que estaban utilizando de manera indebida el certificado robado, por una parte Plead malware, un backdoor controlado de manera remota, y también un componente malicioso relacionado con un programa para robar contraseñas.

La herramienta de robo para llevar a cabo el malware es utilizada para recopilar contraseñas guardadas en aplicaciones como Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.

El uso indebido de certificados digitales es una de las tantas maneras que eligen los cibercriminales para intentar ocultar sus intenciones maliciosas, ya que los certificados robados permiten camuflar el malware y dar la apariencia de una aplicación legítima, aumentando las posibilidades de que el código malicioso logre evadir las medidas de seguridad sin levantar sospechas.

La habilidad para comprometer múltiples compañías tecnológicas con sede en Taiwán y reutilizar el certificado de firma de código en futuros ataques muestra que el grupo está altamente calificado y que se enfoca principalmente en esa región.

Habiendo confirmado la naturaleza maliciosa de los archivos, ESET notificó a D-Link, quienes iniciaron su propia investigación al respecto al malware. Como consecuencia de ello, D-Link recovó el certificado digital comprometido el día 3 de julio de 2018.

Imagen 1. Certificado de firma de código perteneciente a D-Link Corporation utilizado para firmar el malware

Junto con la muestra de Plead firmada con el certificado de D-Link, los investigadores de ESET también identificaron muestras firmadas en las que se utilizó un certificado perteneciente a una compañía de seguridad de Taiwán conocida como Changing Information Technology Inc.

A pesar de que el certificado de Changing Information Technology Inc. fue revocado el 4 de julio de 2017, el grupo BlackTech sigue utilizándolo para firmar sus herramientas maliciosas y cometer el malware.

“Desde ESET se apunta a la educación como la principal herramienta de seguridad. Conocer los riesgos que existen permite tomar los recaudos necesarios y así estas preparados para evitar los malware”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Entre los consejos que dio Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica, para evitar los malware están estos tres que son vitales a la hora de crear protecciones sólidas, que impidan el robo de datos:.

  1. Para evitar el acceso no autorizado de terceros a nuestras cuentas, es importante contar con software de seguridad que impida el mismo

  2. Es importante mantener nuestros datos cifrados

  3. Se debe agregar una capa adicional mediante la doble autenticación a nuestras redes sociales, sitios y aplicaciones para evitar que un atacante pueda acceder los mismo,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR
Aviso de cookies