Los cibercriminales están vendiendo certificados digitales que permiten firmar código de archivos maliciosos, y están haciendo toda una industria de ello.

De acuerdo a reportes de InfoArmor, los atacantes están usando una herramienta de creación de malware llamada GovRAT, que está abastecida con certificados digitales para firma de código. Es principalmente una herramienta APT (Amenaza avanzada persistente), activa desde 2014.

Las víctimas de GovRAT hasta ahora incluyen empleados políticos, militares y diplomáticos de más de quince gobiernos alrededor del mundo junto con siete bancos, treinta contratistas de defensa y más de cien corporaciones adicionales.

"Firmar el código garantiza a los usuarios y al sistema operativo que el software proviene de una fuente legítima", dijo Travis Smith, ingeniero de investigación en seguridad de Tripwire, en un correo electrónico. "Obtener y aplicar correctamente los certificados para legitimizar software es costoso y complejo. Muchos mecanismos de protección, con justa razón, validan el certificado digital. Aunque es posible que otras medidas adicionales de seguridad no investiguen el software más allá de este punto."

Los atacantes pueden explotar este vacío al obtener sus propios certificados y firmar su malware.

"Esto disminuye la automatización pero incrementa el valor del botín potencial," añadió Smith. "Para organizaciones que tienen información valiosa, los atacantes van a sacrificar automatización por ataques más sigilosos, como firmar código malicioso."

GovRAT usa las herramientas Microsoft SignTool y Wintrust para firmar digitalmente código malicioso y evadir la detección de antivirus. Una vez que el malware firmado con la herramienta es embebido, se puede comunicar a través de SSL, oscureciendo la exfiltración de datos sensibles. También tiene herramientas avanzadas para autocifrado y antidebugging.

Originalmente se ofrecía en la Dark Web por 1.25 bitcoin (420 dólares), ahora está disponible sólo de manera privada y como un modelo de servicio.