Image default
Security

Malwares são assinados com certificado roubado de empresa de tecnologia

Pesquisadores de segurança da ESET identificaram uma nova campanha de malware que utiliza um certificado de assinatura de código roubado da D-Link Corporation, para fazer com que pareçam ser um aplicativo verdadeiro.

O código que assina um certificado permite que um desenvolvedor de aplicativo assine o software antes de publicá-lo na Internet, para em seguida, os usuários possam verificar a identidade do autor e garantir que o software não tenha sido alterado.

Parece que os atacantes roubaram o certificado, já que o software legítimo da D-Link foi assinado com o mesmo certificado. A ESET notificou a D-Link sobre o arquivo malicioso e o certificado foi revogado no dia 3 de julho desse ano pela empresa.

Malware é assinado com certificado roubado de empresas de tecnologia
Malware é assinado com certificado roubado de empresas de tecnologia / Fonte imagem: https://gbhackers.com/malware-stolen-code-signing-certificate/

Os malwares que utilizam o certificado roubado

De acordo com a ESET, dois malwares utilizam o certificado roubado. O malware Plead, que é um backdoor para acesso remoto e outro, que é um componente relacionado com o roubo de senhas.

Juntamente com o certificado roubado da D-Link, foi utilizado também um certificado de uma empresa taiwanesa de segurança (Changing Information Technology Inc) na assinatura dos arquivos maliciosos. Após a descoberta deste roubo, o mesmo foi revogado no dia 4 de julho deste ano.

Os arquivos maliciosos assinados são altamente ofuscados, pois é realizado o download de um binary Blob do servidor remoto, onde este, faz o download do backdoor Plead. O componente relacionado ao roubo de senhas é capaz de coletar senhas salvas de aplicativos, como o Google Chrome, Internet Explorer, Microsoft Outlook e o Mozilla Firefox.

De acordo com relatórios de investigações recentes, há um certo número de fornecedores clandestinos que vendem o certificado padrão de assinatura de código e os EVs (Certificados de Assinatura de Código com Validade Extendida) altamente confiáveis.

 

Fonte:

https://gbhackers.com/malware-stolen-code-signing-certificate/

https://www.globalsign.com/pt-br/code-signing/

https://blog.malwarebytes.com/101/2013/10/cryptolocker-ransomware-what-you-need-to-know/ (Imagem do post)

Posts similares

WhatsApp e o mito por trás das conversas criptografadas

O Analista

Falsos e-mails enviados por impressoras/scanners instalam backdoor

O Analista

Cisco libera patch para corrigir vulnerabilidade Zero-Day divulgada pelo Wikileaks

O Analista
O Analista_