• Tweet

Como ya pudo haber notado, fabricantes de software malicioso se han dado cuenta de que sus productos tienen una mayor probabilidad de ser cargados por el sistema de destino si están firmados digitalmente. El reciente gusano Stuxnet es un buen ejemplo de que esta tendencia va a la alza.

Pero, ¿de dónde pueden obtener estas firmas digitales- A medida que aumenta la demanda, es inevitable que algunos delincuentes se concentren en esa tarea en particular (y algunos han comenzado desde ya).

Symantec advierte sobre Infostealer.Nimkey, un troyano que está diseñado para recoger las claves privadas de los certificados, las pulsaciones de teclado y los datos del portapapeles para enviarlos a un sitio web donde los autores puedan colectarlos.

Este troyano está dirigido a los archivos de llave pública de los certificados PKCS # 12, los cuales también contienen las claves privadas que los atacantes necesitan para robar la clave de firma del dueño. Los mensajes spam contienen enlaces a un sitio malicioso que distribuyen el troyano, son comúnmente el primer paso hacia la infección. A veces estos mensajes contienen un archivo adjunto con extensión .com, con la finalidad de parecer un vínculo, pero en realidad es malware implementado en la ejecución.

Otro táctica empleada por este particular troyano es la presentación de un formulario para la declaración de impuestos federales, mientras el usuario está tratando de darle sentido a lo que está leyendo, el troyano va a trabajar y descarga otros archivos maliciosos. Algunos de ellos registran los URL visitados, otros buscan los archivos de certificado PKCS # 12. Uno incorpora registros de pulsaciones de teclado "keylogger" y datos del portapapeles. Y finalmente, todo se envían a un servidor en China.