ESET descubre malware que utiliza certificados digitales de D-Link
Dos importantes empresas tecnológicas taiwanesas se han visto afectadas por una campaña de malware.
La compañía europea de software de seguridad ESET ha identificado una campaña de malware que afecta a los certificados digitales de D-Link y Changing Information Technologies. ESET ya ha notificado a ambas organizaciones la situación, por lo que ambas han revocado los respectivos certificados digitales comprometidos.
Según las investigaciones del laboratorio de ESET, un grupo de ciberespionaje altamente cualificado robó y utilizó certificados digitales de las dos compañías taiwanesas. ESET descubrió la campaña de malware cuando sus sistemas detectaron varios archivos sospechosos que habían sido firmados digitalmente utilizando un certificado válido para la firma de código perteneciente a D-Link Corporation. El mismo certificado fue utilizado para firmar un software legítimo de D-Link, lo que evidencia la posibilidad de que el certificado fuera robado.
El análisis llevado a cabo por ESET identificó dos familias de malware diferentes que estaban utilizando de manera indebida el certificado robado; por una parte el malware Plead, un backdoor controlado de manera remota, y, por otra, un componente malicioso diseñado para robar contraseñas. Este keylogger es utilizado para recopilar contraseñas guardadas en aplicaciones como Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.
“El uso indebido de certificados digitales es una de las maneras que eligen los cibercriminales para intentar ocultar sus intenciones maliciosas, ya que los certificados robados permiten camuflar el malware y dar la apariencia de ser una aplicación legítima, aumentando las posibilidades de que el código malicioso logre evadir las medidas de seguridad sin levantar sospechas”, alerta Josep Albors, responsable de investigación y concienciación de ESET España.
Junto con la muestra del malware Plead firmada con el certificado de D-Link, los investigadores de ESET también identificaron muestras firmadas en las que se utilizó un certificado perteneciente a la compañía de seguridad Changing Information Technology Inc. A pesar de que el certificado de Changing Information Technology Inc. fue revocado el 4 de julio de 2017, el grupo BlackTech sigue utilizándolo para firmar sus herramientas maliciosas.
Temas relacionados:
También te puede interesar
Esta web se reserva el derecho de suprimir, por cualquier razón y sin previo aviso, cualquier contenido generado en los espacios de participación en caso de que los mensajes incluyan insultos, mensajes racistas, sexistas... Tampoco se permitirán los ataques personales ni los comentarios que insistan en boicotear la labor informativa de la web, ni todos aquellos mensajes no relacionados con la noticia que se esté comentando. De no respetarse estas mínimas normas de participación este medio se verá obligado a prescindir de este foro, lamentándolo sinceramente por todos cuantos intervienen y hacen en todo momento un uso absolutamente cívico y respetuoso de la libertad de expresión.
No hay opiniones. Sé el primero en escribir.
