Detectan el uso de certificados digitales de D-Link para propagar malware
- Actualidad
Investigadores de ESET identificaron dos familias de malware diferentes que utilizaron el certificado legítimo durante algún tiempo: Plead, un backdoor controlado remotamente, y una amenaza especializada en el robo de contraseñas. D-Link ya ha revocado el certificado robado.
También puedes leer... |
Una investigación realizada por ESET ha permitido descubrir el uso de certificados digitales legítimos robados por un grupo criminal para propagar malware. Concretamente, el certificado utilizado por los delincuentes para firmar sus amenazas pertenece a D-Link.
El investigador de ESET Anton Cherepanov identificó dos familias de malware diferentes que utilizaron el certificado robado durante algún tiempo. Una de estas familias de malware es Plead, un backdoor controlado remotamente, que ha tenido cierta relevancia recientemente, ya que el Centro de Coordinación de los Equipos de Respuesta ante amenazas de Japón (JPCERTCC) ha publicado un análisis que relaciona esta amenaza con el grupo de ciberespionaje BlackTech. Esta investigación previa demuestra que este malware ya se había usado anteriormente en ataques dirigidos a países del sudeste asiático, principalmente Taiwán. Por su parte, la amenaza especializada en el robo de contraseñas solo roba credenciales de Internet Explorer, Google Chrome, Mozilla Firefox y Microsoft Outlook.
El uso de un certificado digital legítimo para firmar malware, y no uno falso haciéndose pasar por uno legítimo, es algo poco común y bastante efectivo, ya que permite evadir algunos sistemas de detección. En este caso, la confirmación de que se trataba de un certificado legítimo por D-Link fue precisamente el haber observado ese mismo certificado siendo utilizado por software legítimo. Tras ser avisados por los investigadores de ESET, D-Link revocó el certificado robado el pasado 3 de julio.