LuckyMouse usa un certificado legítimo para firmar malware

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

El Equipo de Investigación y Análisis Global (GReAT) de Kaspersky Lab ha descubierto varias infecciones de un troyano previamente desconocido, que probablemente esté relacionado con el actor de amenazas de habla china LuckyMouse. El rasgo más peculiar de este malware es su controlador firmado con un certificado digital legítimo, que ha sido emitido por una empresa que desarrolla software relacionado con la seguridad de la información.

El troyano infectó un ordenador a través de un controlador creado por los actores de amenazas. Esto permitió a los atacantes ejecutar todas las tareas comunes, como la ejecución de comandos, la descarga y la carga de archivos, e interceptar el tráfico de la red. Para hacerlo confiable, el grupo aparentemente robó un certificado digital, que pertenece a un desarrollador de software de seguridad, y lo usó para firmar muestras de malware. Esto se hizo para evitar que las soluciones de seguridad lo detectaran, ya que una firma legítima hace que el malware parezca un software legal.

Otra característica destacada del controlador es que, a pesar de la capacidad de Luckymouse de crear su propio software malicioso, el software utilizado en el ataque parecía ser una combinación de ejemplos de código públicamente disponibles de los repositorios públicos y malware personalizado. Esta simple adopción de un código de terceros listo para usar, en lugar de escribir el código original, ahorra tiempo a los desarrolladores y hace que la atribución sea más difícil.

Los investigadores de Kaspersky creen que el troyano detectado podría haber sido utilizado en ciberespionaje respaldado por un estado-nación. En este sentido, LuckyMouse es conocido por haber lanzado ciberataques altamente dirigidos a grandes entidades de todo el mundo. La actividad del grupo representa un peligro para regiones enteras, incluidas Asia sudoriental y central, ya que sus ataques parecen tener una agenda política.