Hackers venden certificados de firma de código legítimos para evadir la detección de malware

ZDNet
02/03/2018

Las aplicaciones con código firmado son más difíciles de detectar con dispositivos de seguridad de red, lo que facilita el acceso de malware a un sistema vulnerable.

Los investigadores de seguridad han descubierto que hackers están usando certificados de firma de código con mayor frecuencia para que sea más fácil eludir los dispositivos de seguridad e infectar a sus víctimas.

Una nueva investigación realizada por Recorded Future's Insikt Group descubrió que hackers están obteniendo certificados legítimos de las autoridades certificadoras para firmar código malicioso.

Eso es contrario al punto de vista de que en la mayoría de los casos los certificados son robados de compañías y desarrolladores y reutilizados por hackers para hacer que el malware parezca legítimo.

Los certificados de firma de código están diseñados para brindar a las aplicaciones de escritorio o aplicaciones móviles un nivel de seguridad al hacer que las aplicaciones se vean auténticas. Cada vez que abre una aplicación con código firmado, le dice quién es el desarrollador y proporciona un alto nivel de integridad a la aplicación que no ha sido manipulada de alguna manera. La mayoría de los sistemas operativos modernos, incluidos Mac, solo ejecutan aplicaciones con código firmado de manera predeterminada.

Pero no solo la firma de código tiene un efecto en los usuarios que inadvertidamente instalan malware, las aplicaciones con código firmado también son más difíciles de detectar por los dispositivos de seguridad de red. La investigación indicó que el hardware que usa la inspección profunda de paquetes para analizar el tráfico de la red "se vuelve menos efectivo cuando el tráfico de certificados legítimos es iniciado por un implante malicioso".

Eso ha sido recogido por algunos hackers, que están vendiendo certificados para firma de código por tan solo $299 dólares. Los certificados de validación extendidos que deben atravesar un riguroso proceso de investigación se pueden vender por $ 1,599 dólares.

Los certificados, dicen los investigadores, fueron obtenidos por autoridades emisoras de certificados acreditadas, como Comodo, Symantec y Thawte, que ahora son propiedad de DigiCert.

Los certificados de Apple también estaban disponibles

"En el mundo de Apple, no se puede ejecutar un programa que no está firmado por código, aunque hay muchas formas de hacerlo", dijo Amit Serper, investigador principal de seguridad de Cybereason y especialista en malware de Mac. "Para poder firmar un programa, debes configurar una cuenta de desarrollador, pagarle a Apple $99 dólares y darles una razón para emitirte un certificado. Dado que el objetivo de Apple es ganar dinero y tener más desarrolladores uniéndose a su programa de desarrollo y generando ingresos, obtener un certificado es increíblemente fácil ".

"Muchos programas maliciosos y adware para los Mac están firmados con certificados legítimos de firma de código proporcionados por Apple", dijo.

Serper recientemente escribió sobre Pirrit, un adware furtivo que inyecta anuncios directamente en el navegador. Según el informe de Seper, el actualizador de Pirrit estaba firmado por código, lo que facilita la descarga de contenido malicioso adicional.

Los portavoces de Apple y Comodo no respondieron a una solicitud de comentarios. DigiCert no tuvo comentarios. Si eso cambia, lo actualizaremos.

Pero los investigadores dicen que creen que las autoridades certificadoras "desconocen" que se usaron sus datos. Andrei Barysevich, director de la colección avanzada en Recorded Future, le dijo a ZDNet que los hackers "obtienen los certificados directamente de las autoridades emisoras utilizando información corporativa robada". Esos inicios de sesión robados permiten que los piratas informáticos accedan a la red de las autoridades emisoras y emitan certificados personalizados para sus clientes.

"Confiamos en que no se esté utilizando la ayuda de personas con experiencia en estas compañías", dijo.

Según la investigación, el hacker vendió más de 60 certificados en seis meses. Pero las ventas disminuyeron después de que los creadores de malware optaron por técnicas de ofuscación distintas de los costosos certificados de firma de código.

"Sin embargo, indudablemente los actores más sofisticados y por parte del estado-nación que participan en ataques menos extendidos y más dirigidos continuarán utilizando la firma de códigos falsos y certificados SSL en sus operaciones", dijeron los investigadores.

Articulos relacionados: