Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/02/2013
Localizan una pieza de malware con un certificado digital válido
A diferencia de la mayoría de malware que emplea firmas digitales, el troyano bancario detectado por Malwarebytes posee un certificado válido emitido por una compañía de software brasileña real, el cual fue a su vez expedido por DigiCert.
Uno de los elementos fundamentales del comercio electrónico es la confianza que dan los certificados digitales emitidos por una autoridad de certificación reconocida que validan la legitimidad de un sitio web. Sin embargo, los propios certificados pueden ser vulnerables, como ha puesto de manifiesto la firma de seguridad Malwarebytes, quien recientemente descubierto malware con un certificado digital válido. Como explica Jerome Segura, investigador de seguridad senior de Malwarebytes, “uno de nuestros investigadores de seguridad identificó esta pieza de malware, un troyano típico con una peculiaridad: que utiliza una firma digital válida”.
El malware es un troyano bancario bajo la apariencia de una factura en formato PDF que utiliza el correo electrónico para extenderse, y que cuenta con un certificado válido emitido por una compañía de software real ubicada en Brasil llamada "Buster Paper Comercial Ltda". Dicho certificado fue expedido por la autoridad de certificación SSL DigiCert, comenta Segura, señalando que, aunque DigiCert ha sido notificada sobre el malware, el certificado no ha sido revocado.
"Yo no creo que sea robado, per se", explica Jerome Segura. "Parece que los criminales se fijaron en esta empresa de Brasil, y esencialmente realizaron una solicitud a DigiCert en su nombre, algo que desde el punto de vista de la autoridad de certificación se considera normal. Probablemente, los delincuentes cambiaron la dirección de correo electrónico para comprar el certificado. Me parece muy fácil que cualquier persona que haga un poco de investigación pueda hacerse pasar por una empresa o crear un sitio web falso de una empresa, para luego comprar un certificado”.
Segura señala que la compañía ThreatExpert localizó un troyano similar con un certificado digital válido en noviembre pasado, certificado que ya ha sido revocado. "Lo que tenemos aquí es un abuso total de los servicios de alojamiento, certificados digitales y la reincidencia de la misma gente. Es evidente que, si se puede abusar fácilmente de los certificados digitales, tenemos un gran problema en nuestras manos”, concluye el directivo.