Malware que roubou certificados da D-Link é descoberto

Pesquisadores de segurança analisaram campanha que faz uso indevido do recurso e identificaram ameaça Plead; roubo de certificados é uma maneira de cibercriminosos camuflarem suas ações ilícitas através de uma identidade de terceiro previamente confirmada


O Laboratório de Pesquisa da ESET identificou um grupo de ciberespionagem que roubou e usou certificados digitais de empresas de tecnologia taiwanesas, como a D-Link e a Changing Information Technologies.


A empresa descobriu a campanha de malware quando seus sistemas detectaram vários arquivos suspeitos. Eles foram assinados digitalmente usando um certificado válido para a assinatura do código pertencente à D-Link Corporation. O que foi identificado é que o mesmo certificado foi usado para assinar um software legítimo da D-Link, que evidenciou a possibilidade de o certificado ter sido roubado.


A análise identificou duas famílias de malware diferentes que usavam de maneira indevida o certificado roubado. Isso ocorria por meio de um malware Plead, backdoor controlado remotamente, e também por meio de um componente malicioso relacionado a um programa para roubar senhas. A ferramenta de roubo é usada para coletar senhas armazenadas em aplicativos como o Google Chrome, o Microsoft Internet Explorer, o Microsoft Outlook e o Mozilla Firefox.


O uso indevido de certificados digitais é uma das muitas maneiras com as quais os cibercriminosos escondem suas intenções maliciosas, pois os certificados roubados permitem camuflar o malware e dar a aparência de um aplicativo legítimo, aumentando as chances de o código malicioso burlar medidas de segurança sem levantar suspeitas.


A capacidade de envolver várias empresas de tecnologia baseadas em Taiwan e reutilizar o certificado de assinatura de código em ataques futuros mostra que o grupo é altamente qualificado e se concentra principalmente nessa região.


Após confirmar a natureza maliciosa dos arquivos, a ESET notificou a D-Link, que iniciou sua própria investigação sobre o assunto. Como resultado, a D-Link recuperou o certificado digital comprometido em 3 de julho de 2018.


Certificado de assinatura de código pertencente à D-Link Corporation utilizado para assinar o malware (Divulgação)

Juntamente com a amostra Plead assinada com o certificado D-Link, os pesquisadores da ESET também identificaram amostras assinadas nas quais foi usado um certificado pertencente a uma empresa de segurança taiwanesa conhecida como Changing Information Technology Inc. O certificado foi revogado em 4 de julho de 2017, mas o grupo BlackTech continua a usá-lo para assinar suas ferramentas maliciosas.


“Acreditamos que a educação é a principal ferramenta de segurança. Conhecer os riscos existentes nos possibilita tomar as precauções necessárias e, portanto, preveni-los. Para evitar o acesso não autorizado de terceiros às nossas contas, é importante ter um software de segurança que o impeça. Para que um cibercriminoso não possa acessar dados pessoais, é fundamental mantê-los criptografados e inserir uma camada adicional de autenticação nas redes sociais, nos sites e nos aplicativos”, explica Camilo Gutierrez, Chefe do Laboratório de Pesquisa ESET América Latina.

Posts Em Destaque
Posts Recentes
Arquivo
Siga
  • Twitter Basic Square
Tags

© 2013 by Success Consulting. Proudly GlobalMask Soluções em TI

  • LinkedIn Social Icon
  • Facebook Social Icon
  • Twitter Classic
  • Instagram ícone social

 

Comercial@globalmask.com.br

BH | RJ | SP | Maracanaú| Fortaleza | Brasilia | Goiânia | Brasil