Certificado de D-Link robado utilizado para firmar digitalmente spyware

Iniciado por r32, 9 Julio 2018, 18:06 PM

0 Miembros y 1 Visitante están viendo este tema.

r32



El malware firmado digitalmente se ha vuelto más común en los últimos años para ocultar intenciones maliciosas.
Las compañías tecnológicas taiwanesas, incluido D-Link, están usando su malware y haciendo que parezcan aplicaciones legítimas.
Como usted sabe, los certificados digitales emitidos por una autoridad de certificados de confianza (CA) se utilizan para las aplicaciones informáticas de signos criptográficamente y software y confían en su ordenador para la ejecución de esos programas sin ningún mensaje de advertencia.
Sin embargo, el autor de malware y hackers que están siempre en busca de técnicas avanzadas para eludir las soluciones de seguridad Haveseen estado abusando de los certificados digitales de confianza en los últimos años.
Los hackers utilizan certificados de firma de código comprometidos asociados con los proveedores de software de confianza con el fin de firmar su código malicioso, lo que reduce la posibilidad de que el malware ser detectado en las redes empresariales específicas y dispositivos de consumo.
Los investigadores de seguridad de ESET han identificado recientemente dos familias de malware, previamente asociados con el grupo de ciberespionaje BlackTech, thathave sido firmados con certificados digitales válidos pertenecientes a D-Link redes fabricante del equipo y otra empresa de seguridad taiwanés llamado Cambio de tecnología de la información.
El primer software malicioso, conocido como Contended, es una puerta trasera controlada a distancia diseñado para robar documentos confidenciales y espiar a los usuarios.
Por lo tanto, el segundo malware es un ladrón de contraseñas relacionado diseñado para recoger contraseñas guardadas de Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.
Los investigadores notificados, tanto D-link y cambio de tecnología de la información sobre el tema, y ​​las empresas revocados los certificados digitales en peligro el 3 de julio y 4 de julio, 2018, respectivamente.
Dado que la mayoría de software de antivirus no comprueba la validez del certificado Incluso Cuando las empresas revocar las firmas de sus certificados, los piratas informáticos BlackTech están en silencio utilizando los mismos certificados para firmar sus herramientas maliciosas.
"La capacidad de compromiso varias empresas de tecnología con sede en Taiwán y reutilizar sus certificados de firma de código en ataques futuros muestra thatthis grupo es altamente especializada y enfocada en sí región", según los investigadores.
No es la primera vez que los hackers usan certificados válidos para firmar su malware. El infame gusano Stuxnet que se dirigió a las instalaciones de procesamiento nuclear iraní en 2003 también utilizó certificados digitales.
Así, el 2017 CCleaner Hack, los piratas informáticos worin reemplazó a la de software CCleaner original con las descargas contaminadas, lo que hizo posible gracias a la actualización de software firmado digitalmente.

Más información: https://thehackernews.com/2018/07/digital-certificate-malware.html

Saludos.

BloodSharp

Cita de: r32 en  9 Julio 2018, 18:06 PM

¿Es el mismo certificado que fue filtrado hace 3 años o es uno actualizado? Que raro que todavía haya dando vueltas malware con eso a esta altura... :silbar:


B#