Los ciberdelincuentes firman a menudo sus creaciones con certificados digitales para asegurarse de que sean más eficientes a la hora de llevar a cabo sus tareas maliciosas. Mientras que en muchos casos los certificados utilizados para firmar código son obtenidos legalmente, a veces los atacantes los roban de otras compañías.
Microsoft proporciona algunos ejemplos interesantes de malware firmados con certificados digitales válidos. Por ejemplo, la falsa familia de antivirus Rogue:Win32/FakePav, que ha estado inactiva durante más de un año, volvió a surgir.
Al parecer, sus creadores convencieron mediante engaños a al menos un par de autoridades de certificación (CAs) para que emitieran certificados. En tales casos, las CAs no saben que los certificados serán utilizados con fines maliciosos.
Otro ejemplo es el del falso antivirus conocido como Rogue:Win32/Winwebsec. En este caso, los ciberdelincuentes han estado utilizando certificados robados para firmar un falso programa de seguridad llamado Antivirus Security Pro.
Los atacantes han usado credenciales robadas de al menos 12 desarrolladores de software de diversos países, incluyendo Estados Unidos, los Países Bajos, Rusia, Alemania, Canadá y el Reino Unido.
En lo que concierne al malware diseñado para robar información, Microsoft ha descubierto que existen varias familias de malware que interaccionan entre sí.
Las últimas versiones del troyano conocido como Fareit son capaces de robar no sólo contraseñas, sino también certificados digitales. Una vez que infecta un ordenador, la amenaza descarga Sirefef y copias firmadas de Winwebsec. A su vez, Winwebsec recupera copias firmadas digitalmente de la amenaza llamada Ursnif.
"Los ciberdelincuentes y los operadores respaldados por el estado han aprendido rápidamente que la mejor manera de hackear redes y obtener datos confidenciales y propiedad intelectual es hacerse pasar por entidades de confianza dentro de los ambientes y las redes en los que se infiltran", ha dicho el CEO de Venafi, Jeff Hudson, a Softpedia.
"El ejemplo de Win32/Winwebsec es otro triunfo para los atacantes, y, como señala Microsoft, nuevos certificados están siendo robados a una velocidad increíblemente alta", añadió.
El experto destaca el hecho de que los certificados robados, falsificados o comprometidos y las claves criptográficas son un vector perfecto para ataques dirigidos avanzados. Esto se debe al hecho de que los certificados pueden ser utilizados para firmar no sólo código y malware, sino también VPNs seguras, sistemas de autenticación, aplicaciones, nubes e incluso dispositivos móviles.
"Los certificados y claves digitales son el equivalente de Internet del oro y seguiremos viendo ataques similares en los próximos años debido a la simple verdad de que estamos perdiendo la batalla por identificar y asegurar estos instrumentos de confianza increíblemente valiosos que permiten a los usuarios infiltrar sin problemas incluso las inversiones de seguridad más seguras", agregó Hudson.
El CEO de Venafi apunta a un reciente estudio del Instituto Ponemon que muestra que los ataques que se aprovechan de certificados y claves criptográficas comprometidos podrían costar a las organizaciones 35 millones de dólares (25 millones de euros) por incidente.
Mientras que una empresa media utiliza casi 18.000 elementos de este tipo, el 51% de las organizaciones que participaron en el estudio de Ponemon han admitido que no pudieron determinar el número exacto de claves y certificados digitales que tenían en sus redes.
"Habrá una selección muy variada para los atacantes si no se toman las medidas adecuadas para proteger una capacidad tan potente y crítica. Las organizaciones deben implementar una solución de seguridad por capas que incluya un control adecuado de las claves y los certificados para garantizar que todas las comunicaciones y transacciones sean seguras y que las redes estén protegidas contra los ataques del tipo APT”, dijo.
http://news.softpedia.es/Los-malware-y-falsos-antivirus-se-basan-cada-vez-mas-en-certificados-digitales-robados-409886.html