BlackTech roba certificados de D-Link para propagar malware
El lunes, un equipo de la firma de seguridad cibernética ESET dijo que la nueva campaña de malware fue detectada cuando los sistemas de la compañía marcaron varios archivos como maliciosos.
Los archivos despertaron el interés de los investigadores después de que se observó que los archivos marcados se firmaron digitalmente utilizando un certificado legítimo de firma de código de D-Link.
Los certificados se emiten para determinar la legitimidad y la seguridad de los archivos y el software. Sin embargo, si alguien logra robar uno, entonces puede firmar software malicioso para que parezca legítimo y eludir las soluciones estándar de protección de ciberseguridad.
ESET dice que el mismo certificado se usó para firmar el software legítimo de D-Link, por lo que "el certificado probablemente fue robado".
Se cree que el grupo detrás de estos ataques es BlackTech, un grupo de amenaza persistente avanzada (APR) que se enfoca en objetivos en Asia; incluidos los de Taiwán, Japón y Hong Kong.
BlackTech parece centrarse en el ciberespionaje, que se vincula con las dos familias diferentes de malware descubiertas por ESET para usar el certificado robado.
La principal familia de malware es PLEAD, que incluye un componente de puerta trasera y la herramienta de filtración DRIGO. El malware PLEAD se descarga desde un servidor remoto o se abre desde un disco local después de cifrarse en un formato binario. El archivo cifrado contiene Shellcode que descarga el módulo de puerta trasera completa que luego se ejecuta para mantener la persistencia en un sistema infectado.
PLEAD se ha relacionado con campañas de robo de información desde 2012 y los operadores utilizan técnicas de spear-phishing para propagar el malware.
ESET también detectó un robo de contraseñas que se firmó con el certificado. El código malicioso intenta filtrar las contraseñas de Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.
Además, se detectaron otras muestras de malware utilizando un certificado firmado por la empresa taiwanesa Changing Information Technology. Este certificado fue revocado a principios de este mes, pero todavía BlackTech lo utiliza para firmar malware.
"La capacidad de comprometer varias compañías de tecnología con sede en Taiwán y reutilizar sus certificados de firma de código en ataques futuros muestra que este grupo es altamente calificado y está enfocado en esa región", dice ESET.
ESET reportó sus hallazgos a D-Link, que luego lanzó una investigación sobre el certificado supuestamente robado.
Una vez completado, el vendedor confirmó que dos certificados digitales se vieron comprometidos y se revocó inmediatamente el 3 de julio de 2018. Para resolver el problema se emitieron nuevos certificados.