Detectan el uso de certificados digitales de D-Link para propagar malware

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Una investigación realizada por ESET ha permitido descubrir el uso de certificados digitales legítimos robados por un grupo criminal para propagar malware. Concretamente, el certificado utilizado por los delincuentes para firmar sus amenazas pertenece a D-Link.

El investigador de ESET Anton Cherepanov identificó dos familias de malware diferentes que utilizaron el certificado robado durante algún tiempo. Una de estas familias de malware es Plead, un backdoor controlado remotamente, que ha tenido cierta relevancia recientemente, ya que el Centro de Coordinación de los Equipos de Respuesta ante amenazas de Japón (JPCERTCC) ha publicado un análisis que relaciona esta amenaza con el grupo de ciberespionaje BlackTech. Esta investigación previa demuestra que este malware ya se había usado anteriormente en ataques dirigidos a países del sudeste asiático, principalmente Taiwán. Por su parte, la amenaza especializada en el robo de contraseñas solo roba credenciales de Internet Explorer, Google Chrome, Mozilla Firefox y Microsoft Outlook.

El uso de un certificado digital legítimo para firmar malware, y no uno falso haciéndose pasar por uno legítimo, es algo poco común y bastante efectivo, ya que permite evadir algunos sistemas de detección. En este caso, la confirmación de que se trataba de un certificado legítimo por D-Link fue precisamente el haber observado ese mismo certificado siendo utilizado por software legítimo. Tras ser avisados por los investigadores de ESET, D-Link revocó el certificado robado el pasado 3 de julio.