Las noticias sobre ataques de malware dirigidos a Mac o Windows ciertamente no son nada nuevo para los usuarios de Internet hoy en día. Para empeorar las cosas, variantes como los virus de arranque, los archivos adjuntos no autorizados y los virus de macro ya se han convertido en el centro de atención. Si crees que todo empieza y termina en el malware, estás equivocado. Es solo una señal de lo que está por venir, considérelo como una campana alarmante.
Un estudio reciente realizado por el Cyber Security Research Institute (CSRI) reveló cómo los certificados de firma de código digital están en riesgo. El gusano Stuxnet fue el primero de este tipo que se utilizó para comprometer el proceso de enriquecimiento nuclear iraní en 2005. Un ejemplo reciente de abuso del certificado de firma de código digital fue el ataque a CCleaner.
Digital Certificados de firma de código:
Un Certificado Digital es como un documento de identidad, que proporciona una identidad a un individuo o empresa. Son emitidos por una autoridad certificadora (CA) de confianza.
img src: SSL.org
Las autoridades certificadoras emiten certificados digitales para aprobar la identidad y autoridad del titular. En cada certificado digital emitido a un individuo o empresa se incluye una clave pública junto con otra información de identificación. Estos certificados están firmados criptográficamente, autentificando la integridad de los datos y validando su uso.
Una aplicación informática o software con certificado digital es de confianza para el ordenador y permite la ejecución del programa sin ningún mensaje de advertencia.
¿Cómo son? ¿Certificados digitales en riesgo?Los certificados digitales legítimamente firmados están a la venta en la Dark Web a un precio de hasta 1.200$ (por certificado). Los piratas informáticos utilizan estos certificados para vincular su código malicioso con proveedores de software confiables, lo que reduce el riesgo de que se detecte malware. Por lo tanto, evitan fácilmente las redes específicas y la seguridad de las máquinas de los usuarios.
¿Debo preocuparme?
Un equipo de investigadores de seguridad de la Universidad de Maryland, College Park, Doowon Kim, BumJun Kwon y Tudor Dumitras han descubierto que el malware firmado digitalmente prevalece. Ya se han descubierto un total de 325 muestras de malware firmadas. De las cuales 189 tienen firmas digitales válidas.
“Estas firmas con formato incorrecto son útiles para un adversario: descubrimos que simplemente copiar una firma Authenticode de una muestra legítima a una muestra de malware sin firmar puede ayudar a que el malware evite la detección antivirus. ”, dijeron los investigadores.
27 de estos certificados comprometidos Los certificados ya han sido revocados, aunque por ahora el sistema sigue confiando en los 84 certificados restantes hasta que sean revocados.
“Una gran fracción (88,8%) de las familias de malware dependen de un solo certificado, lo que sugiere que el los certificados abusivos están controlados en su mayoría por los autores del malware y no por terceros”, afirmó el trío (Doowon Kim, BumJun Kwon y Tudor Dumitras de la Universidad de Maryland, College Park).
Src: thehackernews.com
Incluso después de que los certificados hayan sido revocados, los investigadores han descubierto que no se impedirá inmediatamente que los ciberdelincuentes abusen de ellos. Dado que algunos programas antivirus no reconocen el programa malicioso en los certificados revocados. Es decir, el código malicioso se ejecutará en el sistema sin ningún obstáculo.
Los piratas informáticos pueden agregar fácilmente el código malicioso a cualquiera de los archivos válidos del sistema de Windows firmados por Microsoft o a un archivo de Microsoft Office. Por lo tanto, se esconde de las aplicaciones de seguridad ya que los archivos firmados por Microsoft se agregan a la lista blanca de programas de seguridad. Esto se hace para evitar una detección falsa que puede causar la eliminación de archivos críticos del sistema y una falla del sistema.
¿Qué puedo hacer para mantenerme protegido?
- Mantenga siempre actualizados su sistema operativo y navegadores.
- Evite agregar nuevas CA a la zona de certificados raíz.
- Bloquear un archivo de descarga entregado por un desarrollador desconocido.
- Mantenga siempre un registro de los certificados confiables.
- Instale soluciones de seguridad para endpoints
“El malware firmado digitalmente puede evita los mecanismos de protección del sistema que instalan o inician sólo programas con firmas válidas”. se lee en el documento "Malware certificado: medición de violaciones de confianza en la PKI de firma de código de Windows".
Esto es realmente un asunto serio: los piratas informáticos que tienen acceso a los certificados válidos significa que nada es seguro. Como programa antivirus y el sistema no podrá identificar estas amenazas. Ahora es fácil evadir un programa antivirus.
Puede consultar la lista de certificados de los que los atacantes abusaron en signedmalware.org.
Leer: 0
