Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/02/2013
Localitzen una peça de malware amb un certificat digital vàlid
A diferència de la majoria de programari maliciós que utilitza firmes digitals, el troià bancari detectat per Malwarebytes té un certificat vàlid emés per una companyia de programari brasilera real, el qual va ser al seu torn expedit per DigiCert.
Un dels elements fonamentals del comerç electrònic és la confiança que donen els certificats digitals emesos per una autoritat de certificació reconeguda que validen la legitimitat d’un lloc web. No obstant això, els mateixos certificats poden ser vulnerables, com ha posat de manifest la firma de seguretat Malwarebytes, que recentment ha descobert programari maliciós amb un certificat digital vàlid. Com explica Jerome Segura, investigador de seguretat senior de Malwarebytes, “un dels nostres investigadors de seguretat va identificar esta peça de programari maliciós, un troià típic amb una peculiaritat: que utilitza una firma digital vàlida”.
El programari maliciós és un troià bancari amb l’aparença d’una factura en format PDF que utilitza el correu electrònic per a estendre’s, i que compta amb un certificat vàlid emés per una companyia de programari real ubicada a Brasil denominada Buster Paper Comercial Ltda. Este certificat va ser expedit per l’autoritat de certificació SSL DigiCert, comenta Segura, el qual assenyala que, encara que a DigiCert se li ha notificat el programari maliciós, el certificat no ha sigut revocat.
"Jo no crec que siga robat, per se", explica Jerome Segura. "Pareix que els criminals es van fixar en esta empresa de Brasil, i essencialment van realitzar una sol·licitud a DigiCert en nom seu, cosa que des del punt de vista de l’autoritat de certificació es considera normal. Probablement, els delinqüents van canviar l’adreça de correu electrònic per a comprar el certificat. Em pareix molt fàcil que qualsevol persona que faça un poc d’investigació puga fer-se passar per una empresa o crear un lloc web fals d’una empresa, per a després comprar un certificat”.
Segura assenyala que la companyia ThreatExpert va localitzar un troià semblant amb un certificat digital vàlid al novembre passat, certificat que ja ha sigut revocat. "El que tenim ací és un abús total dels servicis d’allotjament, certificats digitals i la reincidència de la mateixa gent. És evident que, si es pot abusar fàcilment dels certificats digitals, tenim un gran problema en les nostres mans”, conclou el directiu.