• Tweet

Investigadores de Trend Micro descubrieron que un malware ampliamente extendido usó un certificado digital de una compañía de la competencia en un intento de parecer legítimo.

El malware es Zeus, un bot usado para robar toda clase de datos de computadoras y que ha probado ser una aplicación difícil de detectar por compañías de seguridad.

La versión de Zeus detectada por Trend Micro contaba con un certificado digital perteneciente al producto Zbot Kaspersky, diseñado para remover Zeus. Sin embargo el certificado - que es revisado durante la instalación del software pare asegurarse que el programa es lo que dice ser - era caduco.

Además, el valor hash del malware, un identificador numérico único para aplicaciones basado en el código fuente, era incorrecto, ya que derivaba del la herramienta de Kaspersky, de acuerdo a un publicado de Trend Micro.

El robo de certificados digitales es una técnica usada frecuentemente por codificadores de malware. Dos versiones del malware Stuxnet - diseñado para robar datos de las máquinas industriales Siemens - también utilizó certificados digitales de otras compañías. Una vez que fue descubierto, los certificados fueron revocados.

“Los certificados, desafortunadamente, pueden ser copiados de cualquier compañía por cualquier ciber-criminal intencionado,” publicó Trend. “Las compañía antivirus mencionaron que ellos no pudieron prevenir que este incidente tuviera lugar, y que es muy probable que sigamos viendo más incidentes similares en el futuro.”

Trend comentó que informó a Kaspersky sobre el asunto del certificado. El problema otra vez muestra el extremo al que los creadores de Zeus llegan para mantener el malware indetectable. Expertos de la compañía de seguridad Trusteer dijeron que las suites de software de seguridad con frecuencia solo son capaces de detectar cerca del 10% de las variantes activas de Zeus que circulan hoy en día.