Una campaña de malware utiliza certificados digitales de D-Link

Los cibercriminales quieren hacerse con tu datos. Y para ello utilizarán técnicas cada vezmás novedosas con el objetivo camuflar el malware y no ser detectados. Esta vez, según han descubierto los expertos del laboratorio de ESET, un grupo de ciberespionaje altamente cualificado utiliza los certificados digitales de D-Link y Changing Information Technologies.

ESET descubrió la campaña de malware cuando sus sistemas detectaron varios archivos sospechosos que habían sido firmados digitalmente utilizando un certificado válido para la firma de código perteneciente a D-Link Corporation. El mismo certificado fue utilizado para firmar un software legítimo de D-Link, lo que evidencia la posibilidad de que el certificado fuera robado.

El análisis llevado a cabo por ESET identificó dos familias de malware diferentes que estaban utilizando de manera indebida el certificado robado; por una parte el malware Plead, un backdoor controlado de manera remota, y, por otra, un componente malicioso diseñado para robar contraseñas. Este keylogger es utilizado para recopilar contraseñas guardadas en aplicaciones como Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.

“El uso indebido de certificados digitales es una de las maneras que eligen los cibercriminales para intentar ocultar sus intenciones maliciosas, ya que los certificados robados permiten camuflar el malware y dar la apariencia de ser una aplicación legítima, aumentando las posibilidades de que el código malicioso logre evadir las medidas de seguridad sin levantar sospechas”, alerta Josep Albors, responsable de investigación y concienciación de ESET España.

Junto con la muestra del malware Plead firmada con el certificado de D-Link, los investigadores de ESET también identificaron muestras firmadas en las que se utilizó un certificado perteneciente a la compañía de seguridad Changing Information Technology Inc. A pesar de que el certificado de Changing Information Technology Inc. fue revocado el 4 de julio de 2017, el grupo BlackTech sigue utilizándolo para firmar sus herramientas maliciosas.

ESET ya ha notificado a ambas organizaciones la situación, por lo que ambas han revocado los respectivos certificados digitales comprometidos. D-Link ha IT Reseller que “dos de sus certificados de seguridad han sido puestos en riesgo”. Pero que uno vez identificado el problema, “estos certificados fueron revocados para impedir cualquier acceso no autorizado”. Así, los dos certificados de D-Link afectados fueron revocados con carácter inmediato el día 3 de julio y han sido sustituidos por nuevos certificados. De todas formas, se aconseja a los usuarios mostrar especial atención a este tipo de trampas para mantener sus datos a salvo de los cibercriminales.

La entrada Una campaña de malware utiliza certificados digitales de D-Link aparece primero en Globb Security.