Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Investigador encuentra fraude de certificados digitales usado para extender malware

Un nuevo esquema de fraude de certificados involucra a un actor de amenazas que se hace pasar por ejecutivos de la compañía para comprar certificados que luego se revenden a aquellos que buscan difundir malware.

Una firma de investigación de seguridad dice que un nuevo esquema de fraude de certificados digitales se hace pasar por figuras clave en las organizaciones.

Tomislav Pericin, cofundador y arquitecto jefe de ReversingLabs, descubrió un nuevo actor de amenazas que se ha hecho pasar por ejecutivos de compañías, específicamente aquellos de la industria del software, para engañar a las autoridades de certificación (CA) para que emitan certificados de firma de código. El actor de la amenaza luego revende esos certificados en el mercado negro a los cibercriminales que buscan usarlos para propagar malware.

«Hay pocas amenazas que los actores no harían para aparecer como entidades legítimas. Si bien los certificados robados reciben mucha atención pública, también hay un lado más tranquilo del negocio del malware: identidades robadas», escribió Pericin en una publicación de blog. «A veces estas dos pueden entrelazarse».

Según Pericin, el esquema de fraude de certificados comienza con el actor de amenaza que elige un objetivo para hacerse pasar por alguien «bien establecido en su industria, con un historial fácilmente verificable» y alguien que puede vincularse fácilmente a su lugar de trabajo para engañar la validación de identidad de CA

El actor de la amenaza luego construye una infraestructura para hacer que la suplantación parezca más legítima, incluido el registro de un dominio convincente, que según Pericin se ha hecho más fácil en la UE debido al GDPR.

«Desde que entró en vigencia la legislación GDPR, la mayoría de los registradores de dominios de la UE han acordado que los registros de WHOIS se consideren información privada y de identificación personal. Esto hace que el conocimiento de la verdadera identidad detrás del nombre de dominio registrado esté sujeto a un proceso de divulgación de datos», escribió Pericin. «Esas son cosas un poco más importantes que la verificación de identidad de la autoridad de certificación, pero tristemente, eso les deja con un punto ciego explotable».

Pericin dijo a nuestro portal hermano SearchSecurity que las CA están en riesgo de este tipo de fraude de certificados porque «las CA están bajo constante presión para emitir certificados lo más rápido posible».

«El tiempo de respuesta habitual de tres a cinco días hábiles para la compra de un certificado de firma de código puede ser insuficiente para hacer verificaciones exhaustivas», dijo Pericin. «Los atacantes como este aprovechan esto y hacen que la validación de identidad sea bastante creíble».

Una vez que esta infraestructura está en su lugar, el actor de la amenaza compra un certificado de firma de código, lo prueba y luego lo revende en el mercado negro a alguien que busca propagar malware. El primer archivo malicioso con un certificado de firma de código que descubrió Pericin fue OpenSUpdater, un conocido programa de adware.

«Los certificados de validación extendida son extremadamente valiosos para los grupos de propagación de adware», escribió Pericin. «Los archivos firmados con este tipo de certificado omiten la protección de Microsoft SmartScreen y permiten que los programas firmados se ejecuten sin advertencias sobre los posibles orígenes de archivo inseguros».

Si bien solo se mencionó una CA en la investigación de Pericin, él le dijo a SearchSecurity que hay evidencia que muestra que «el actor de la amenaza también usa el mismo enfoque contra otras CA».

Pericin agregó que «las organizaciones que invierten menos en la protección de su marca son más susceptibles a este tipo de ataques».

«Dado que estas amenazas son externas a la organización, es imposible detectarlas con medidas de seguridad internas», dijo Pericin. «El mejor consejo que podemos dar en este momento es invertir en la protección de la marca. Registrar dominios que se confunden fácilmente con el propietario de la marca antes de tiempo. Si es posible, monitorear la web en busca de menciones de su marca en el contexto de mal uso por malware».

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close