Malware que roubou certificados da D-Link é descoberto

Pesquisadores de segurança analisaram campanha que faz uso indevido do recurso e identificaram ameaça Plead; roubo de certificados é uma maneira de cibercriminosos camuflarem suas ações ilícitas através de uma identidade de terceiro previamente confirmada

Compartilhar:

O Laboratório de Pesquisa da ESET identificou um grupo de ciberespionagem que roubou e usou certificados digitais de empresas de tecnologia taiwanesas, como a D-Link e a Changing Information Technologies.

 

A empresa descobriu a campanha de malware quando seus sistemas detectaram vários arquivos suspeitos. Eles foram assinados digitalmente usando um certificado válido para a assinatura do código pertencente à D-Link Corporation. O que foi identificado é que o mesmo certificado foi usado para assinar um software legítimo da D-Link, que evidenciou a possibilidade de o certificado ter sido roubado.

 

A análise identificou duas famílias de malware diferentes que usavam de maneira indevida o certificado roubado. Isso ocorria por meio de um malware Plead, backdoor controlado remotamente, e também por meio de um componente malicioso relacionado a um programa para roubar senhas. A ferramenta de roubo é usada para coletar senhas armazenadas em aplicativos como o Google Chrome, o Microsoft Internet Explorer, o Microsoft Outlook e o Mozilla Firefox.

 

O uso indevido de certificados digitais é uma das muitas maneiras com as quais os cibercriminosos escondem suas intenções maliciosas, pois os certificados roubados permitem camuflar o malware e dar a aparência de um aplicativo legítimo, aumentando as chances de o código malicioso burlar medidas de segurança sem levantar suspeitas.

 

A capacidade de envolver várias empresas de tecnologia baseadas em Taiwan e reutilizar o certificado de assinatura de código em ataques futuros mostra que o grupo é altamente qualificado e se concentra principalmente nessa região.

 

Após confirmar a natureza maliciosa dos arquivos, a ESET notificou a D-Link, que iniciou sua própria investigação sobre o assunto. Como resultado, a D-Link recuperou o certificado digital comprometido em 3 de julho de 2018.

 

Certificado de assinatura de código pertencente à D-Link Corporation utilizado para assinar o malware (Divulgação)

 

Juntamente com a amostra Plead assinada com o certificado D-Link, os pesquisadores da ESET também identificaram amostras assinadas nas quais foi usado um certificado pertencente a uma empresa de segurança taiwanesa conhecida como Changing Information Technology Inc. O certificado foi revogado em 4 de julho de 2017, mas o grupo BlackTech continua a usá-lo para assinar suas ferramentas maliciosas.

 

“Acreditamos que a educação é a principal ferramenta de segurança. Conhecer os riscos existentes nos possibilita tomar as precauções necessárias e, portanto, preveni-los. Para evitar o acesso não autorizado de terceiros às nossas contas, é importante ter um software de segurança que o impeça. Para que um cibercriminoso não possa acessar dados pessoais, é fundamental mantê-los criptografados e inserir uma camada adicional de autenticação nas redes sociais, nos sites e nos aplicativos”, explica Camilo Gutierrez, Chefe do Laboratório de Pesquisa ESET América Latina.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente
Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA