Certificati rubati ma validi nei malware : quando l’abito non fa il monaco.

La battaglia è sempre più difficile.

Negli ultimi anni si stanno diffondendo malware certificati (con firma valida) e diventa molto difficile mascherare software dannosi.

malware_certificato
malware_certificato

Una una nuova campagna di malware che utilizza  certificati digitali validi rubati da aziende tecnologiche taiwanesi, tra cui D-Link, sta invadendo la rete. Come forse sapete, i certificati digitali emessi da un’autorità di certificazione di fiducia (CA) vengono utilizzati per firmare crittograficamente applicazioni e software  e sono considerati dai (dal) S.o. affidabili per l’esecuzione di tali programmi da parte del computer senza alcun messaggio di avviso. (vedi s.o. di Microsoft).

Gli hacker utilizzano certificati compromessi, per firmare codice , associati a fornitori di software affidabili , riducendo la possibilità che il loro malware venga rilevato. I ricercatori di sicurezza ESET hanno recentemente identificato due famiglie di malware.  Queste due famiglie precedentemente associate a quelli di ciberspionaggio BlackTech, sono stati firmati utilizzando certificati digitali validi appartenenti al produttore di apparecchiature di rete D-Link e a un’altra società taiwanese di sicurezza chiamata Changing Information Technology.

Il primo malware, denominato Plead, è una backdoor controllata a distanza progettata per rubare documenti riservati e spiare gli utenti.

Il secondo malware è anche un ladro di password , progettato per raccogliere le password salvate da Google Chrome, Microsoft Internet Explorer, Microsoft Outlook e Mozilla Firefox.

I ricercatori hanno subito (ne siamo sicuri ?) notificato la scoperta sia a D-link che a Changing Information Technology e le aziende hanno revocato i certificati digitali compromessi rispettivamente il 3 e il 4 luglio 2018.

Poiché la maggior parte dei software antivirus non controlla la validità del certificato anche quando le aziende revocano le firme dei loro certificati, gli hacker BlackTech utilizzano ancora gli stessi certificati per firmare i loro strumenti dannosi.

malware certificati

Non è la prima volta che gli hacker utilizzano certificati validi per firmare il loro malware. Anche il famigerato verme Stuxnet, che nel 2003 ha preso di mira impianti di trattamento nucleare iraniani, ha utilizzato certificati digitali validi.

La lotta ai malware si fa sempre più difficile. Non tutte le case produttrici di hardware e software dichiarano subito la sottrazione di certificati permettendone così la revoca. Troppo alti gli interessi economici in ballo.