Ventanilla única de certificados falsificados para todos sus necesidades de firma de malware

Una firma digital utilizada por malware que infectó la red de Kaspersky Lab en 2014. Los certificados falsificados que generan firmas fraudulentas se venden en línea para su uso en otro malwareUna firma digital utilizada por malware que infecta la red de Kaspersky Lab en 2014. Certificados falsificados que generan tales firmas fraudulentas se venden en línea para su uso en otros malware.Kaspersky Lab

El gusano Stuxnet que apuntó al programa nuclear de Irán casi un Hace una década era una pieza clave de malware para una variedad de razones. El principal de ellos es el uso de certificados criptográficos. pertenecientes a empresas legítimas para dar fe falsamente de la confiabilidad del malware. El año pasado, aprendimos que El malware firmado de manera fraudulenta estaba más extendido que anteriormente creído El jueves, los investigadores revelaron una posible razón: servicios subterráneos que desde 2011 han vendido firmas falsificadas credenciales que son exclusivas de cada comprador.

Otras lecturas

La firma de código de estilo Stuxnet está más extendida de lo que nadie pensaba En muchos casos, los certificados son necesarios para instalar el software en Las computadoras con Windows y macOS, mientras que en otras, evitan los sistemas operativos de mostrar advertencias de que el software proviene de un sistema no confiable desarrollador. Los certificados también aumentan las posibilidades de que los programas antivirus no marcarán archivos no vistos anteriormente como maliciosos. Un informe publicado por el proveedor de inteligencia de amenazas Futuro registrado dijo que a partir del año pasado, los investigadores vieron un aumento repentino en certificados fraudulentos emitidos por el navegador y en funcionamiento proveedores de confianza del sistema que se usaban para firmar maliciosos mercancías El pico llevó a los investigadores del Futuro Registrado a investigar la causa. Lo que encontraron fue sorprendente.

“Contrariamente a la creencia común de que los certificados de seguridad circulando en el subterráneo criminal son robados de legítima propietarios antes de ser utilizados en campañas nefastas, confirmamos con un alto grado de certeza de que los certificados se crean solo para un comprador específico por solicitud y se registran utilizando identidades corporativas robadas, haciendo la seguridad de red tradicional electrodomésticos menos efectivos “, Andrei Barysevich, investigador de Futuro grabado, reportado.

Barysevich identificó a cuatro de estos vendedores de falsificaciones certificados desde 2011. Dos de ellos permanecen en el negocio hoy. los los vendedores ofrecieron una variedad de opciones. En 2014, un proveedor llamó él mismo C @ T anunció certificados que utilizaban un Microsoft tecnología conocida como Authenticode para firmar archivos ejecutables y scripts de programación que pueden instalar software. C @ T ofrecido certificados de firma de código para aplicaciones macOS también. Su tarifa: hacia arriba de $ 1,000 por certificado.

“En su anuncio, C @ T explicó que los certificados son registrado bajo corporaciones legítimas y emitido por Comodo, Thawte y Symantec, los emisores más grandes y respetados ” El informe del jueves dijo. “El vendedor indicó que cada certificado es único y solo se asignará a un único comprador, que podría verificarse fácilmente a través de HerdProtect.com. Según C @ T, el aumenta la tasa de éxito de las instalaciones de carga de archivos firmados en un 30 a 50 por ciento, e incluso admitió haber vendido más de 60 certificados en menos de seis meses “.

El negocio de C @ T disminuyó en los próximos años como otros proveedores rebajar sus precios. Un servicio de la competencia proporcionó un esqueleto certificado de firma de código por $ 299. Por $ 1,599, el servicio vendió un certificado de firma con validación extendida, lo que significa que fue emitido a un nombre corporativo o comercial que haya sido verificado por editor. Ese precio premium también aseguró que el certificado pasara el Verificación de validación de SmartScreen que varios programas de Microsoft realizan para Proteger a los usuarios contra aplicaciones maliciosas. Un paquete de completamente dominios de Internet autenticados con codificación y código EV SSL las capacidades de firma también se pueden comprar por $ 1,799. Lo mismo servicio vendido certificados de TLS de validación extendida para sitios web desde $ 349. Un competidor de C @ T diferente se vendió altamente investigado Certificados de clase 3 por $ 600.

Ampliar Grabado Futuro

“Según la información proporcionada por ambos vendedores durante un conversación privada, para garantizar la emisión y la vida útil de la productos, todos los certificados se registran utilizando la información de corporaciones reales “, escribió Barysevich.” Con un alto grado de confianza, creemos que los dueños de negocios legítimos son sin saber que sus datos fueron utilizados en actividades ilícitas. Está Es importante tener en cuenta que todos los certificados se crean para cada comprador individualmente con el tiempo promedio de entrega de dos a cuatro dias.”

Uso de certificados de firma legítimos para verificar aplicaciones maliciosas y certificados TLS legítimos para autenticar nombres de dominio que distribuir esas aplicaciones puede hacer menos protecciones de seguridad eficaz. Investigadores futuros registrados proporcionaron a un vendedor un troyano de acceso remoto no informado y convenció al vendedor para que lo firmara con un certificado emitido recientemente por Comodo. Solamente ocho de los principales proveedores de AV detectaron una versión encriptada de troyano Solo dos motores AV detectaron el mismo archivo cifrado cuando Fue firmado por el certificado de Comodo.

“Resultados más inquietantes surgieron después de la misma prueba fue realizado para una versión no residente de la carga útil, “Barysevich reportado. “En ese caso, solo seis empresas eran capaces de detectar una versión encriptada y solo protección de Endgame reconoció el archivo como malicioso “.

Mientras que el informe del jueves muestra lo simple que es evitar muchos de las protecciones proporcionadas por los requisitos de firma de código, Barysevich dijo que es probable que los certificados falsificados solo se usen en campañas de nicho que se dirigen a un pequeño número de personas o organizaciones.

“Aunque los certificados de firma de código se pueden usar efectivamente en campañas de malware generalizadas como la distribución de la banca troyano o ransomware, la validez del certificado utilizado para firmar una carga útil se invalidaría con bastante rapidez “, explicó. “Por lo tanto, creemos que el número limitado de usuarios avanzados especializada en campañas más sofisticadas y específicas, como espionaje corporativo, es la principal fuerza impulsora detrás del nuevo Servicio.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: