ESET, el mayor fabricante de software de seguridad de la Unión Europea, ha identificado una campaña de malware que afecta a los certificados digitales de D-Link y Changing Information Technologies. ESET ya ha notificado a ambas organizaciones la situación, por lo que ambas han revocado los respectivos certificados digitales comprometidos.
Según las investigaciones del laboratorio de ESET, un grupo de ciberespionaje altamente cualificado robó y utilizó certificados digitales de las dos compañías taiwanesas. ESET descubrió la campaña de malware cuando sus sistemas detectaron varios archivos sospechosos que habían sido firmados digitalmente utilizando un certificado válido para la firma de código perteneciente a D-Link Corporation. El mismo certificado fue utilizado para firmar un software legítimo de D-Link, lo que evidencia la posibilidad de que el certificado fuera robado.
El análisis llevado a cabo por ESET identificó dos familias de malware diferentes que estaban utilizando de manera indebida el certificado robado; por una parte el malware Plead, un backdoor controlado de manera remota, y, por otra, un componente malicioso diseñado para robar contraseñas. Este keylogger es utilizado para recopilar contraseñas guardadas en aplicaciones como Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.
“El uso indebido de certificados digitales es una de las maneras que eligen los cibercriminales para intentar ocultar sus intenciones maliciosas, ya que los certificados robados permiten camuflar el malware y dar la apariencia de ser una aplicación legítima, aumentando las posibilidades de que el código malicioso logre evadir las medidas de seguridad sin levantar sospechas”, alerta Josep Albors, responsable de investigación y concienciación de ESET España.
Junto con la muestra del malware Plead firmada con el certificado de D-Link, los investigadores de ESET también identificaron muestras firmadas en las que se utilizó un certificado perteneciente a la compañía de seguridad Changing Information Technology Inc. A pesar de que el certificado de Changing Information Technology Inc. fue revocado el 4 de julio de 2017, el grupo BlackTech sigue utilizándolo para firmar sus herramientas maliciosas.