ESET descubre campaña de malware que robó certificados digitales de D-Link

10/07/2018 - 19:31:08
ESET.� El Laboratorio de Investigaci�n de ESET, compa��a l�der en detecci�n proactiva de amenazas, identific� que un grupo de ciberespionaje altamente cualificado rob� y utiliz� certificados digitales de compa��as tecnol�gicas taiwanesas como D-Link y Changing Information Technologies.

ESET descubri� la campa�a de malware cuando sus sistemas detectaron varios archivos sospechosos. Los mismos fueron firmados digitalmente utilizando un certificado v�lido para la firma de c�digo perteneciente a D-Link Corporation. Lo que se identific� es que el mismo certificado fue utilizado para firmar un software leg�timo de D-Link, lo que evidenciada la posibilidad de que el certificado fuera robado.

El an�lisis identific� dos familias de malware diferentes que estaban utilizando de manera indebida el certificado robado, por una parte Plead malware, un backdoor controlado de manera remota, y tambi�n un componente malicioso relacionado con un programa para robar contrase�as. La herramienta de robo es utilizada para recopilar contrase�as guardadas en aplicaciones como Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.

El uso indebido de certificados digitales es una de las tantas maneras que eligen los cibercriminales para intentar ocultar sus intenciones maliciosas, ya que los certificados robados permiten camuflar el malware y dar la apariencia de una aplicaci�n leg�tima, aumentando las posibilidades de que el c�digo malicioso logre evadir las medidas de seguridad sin levantar sospechas.

La habilidad para comprometer m�ltiples compa��as tecnol�gicas con sede en Taiw�n y reutilizar el certificado de firma de c�digo en futuros ataques muestra que el grupo est� altamente calificado y que se enfoca principalmente en esa regi�n.

Habiendo confirmado la naturaleza maliciosa de los archivos, ESET notific� a D-Link, quienes iniciaron su propia investigaci�n al respecto. Como consecuencia de ello, D-Link recov� el certificado digital comprometido el d�a 3 de julio de 2018.

Junto con la muestra de Plead firmada con el certificado de D-Link, los investigadores de ESET tambi�n identificaron muestras firmadas en las que se utiliz� un certificado perteneciente a una compa��a de seguridad de Taiw�n conocida como Changing Information Technology Inc. A pesar de que el certificado de Changing Information Technology Inc. fue revocado el 4 de julio de 2017, el grupo BlackTech sigue utiliz�ndolo para firmar sus herramientas maliciosas.

�Desde ESET apuntamos a la educaci�n como la principal herramienta de seguridad. Conocer los riesgos que existen permite tomar los recaudos necesarios y as� estas preparados para evitarlos. Para evitar el acceso no autorizado de terceros a nuestras cuentas, es importante contar con software de seguridad que impida el mismo. Adem�s, es importante mantener nuestros datos cifrados y agregar una capa adicional mediante la doble autenticaci�n a nuestras redes, sitios y aplicaciones para evitar que un atacante pueda acceder los mismos.�, mencion� Camilo Gutierrez, Jefe del Laboratorio de Investigaci�n de ESET Latinoam�rica.

Estimados lectores: recuerden que estas noticias las pueden encontrar en nuestro Canal de Whastapp al momento de su publicación.

Sigue el canal de Hoybolivia.com en WhatsApp:
whatsapp.com/channel/0029Va8B7PQ3GJOyC41B2Q1a