La utilización de certificados digitales para firmar malware no es una práctica nueva y es algo que cada vez es más común, sobre todo fomentada por los problemas de seguridad que sufren las empresas que manejan este tipo de información. Microsoft, fabricantes de equipos, etc. Havex, un nuevo troyano que ha sido detectado y que permite el acceso y el control del equipo de forma remota, ha sido firmado con un certificado perteneciente a IBM.
Gracias a este certificado los atacantes garantizan que las herramientas de seguridad presentes en el equipo no detecten el hilo como una amenaza y permitan su instalación y su posterior ejecución. La presencia de este virus en la red no es una novedad como tal, ya que anteriormente este ya ha afectado a los equipos presentes en instalaciones industriales en campañas pertenecientes al espionaje entre países. Sin embargo, un grupo de ciberdelincuentes han modificado el software malicioso y ahora está afectando de una forma moderada a los usuarios domésticos.
Desde Trend Micro aseguran que el troyano está diseñado para afectar tanto a sistemas Windows de 32 bits como las versiones de 64. También han confirmado que desde Windows XP hasta Windows 8.1, todos los sistemas operativos son vulnerables a esta amenaza.
Además, añaden que aunque han revocado algunos certificados, el malware sigue siendo igual de peligroso para aquellos usuarios que no hagan uso de una herramienta de seguridad.
Havex se distribuye a través de páginas web de descargas
Desde diversas empresas de seguridad han confirmado que el troyano de control remoto se está distribuyendo haciendo uso de sitios web de descargas, adjuntado como un activador, generador de números de serie o como un instalador de una aplicación. Cuando este ha conseguido llegar al equipo e instalarse su expansión se puede realizar gracias memorias USB extraibles.
A pesar de que aún no se han localizado todos los certificados (según algunas filtraciones podríamos estar hablando de hasta 8 certificados robados) una amplia mayoría sí que han sido revocados.
Tal y como ya hemos indicado con anterioridad, la eliminación de esta firma ayuda a los usuarios a que sus programas de seguridad detecten la presencia de un proceso de instalación no autorizado. Si no se dispone de dicha herramienta no sirve de nada la eliminación de dicho certificado, ya que la instalación se llevará a cabo de igual forma.
El robo de certificados, un problema que se ha consolidado este año
Una mala manipulación de esta información puede ser un gran problema para los usuarios. Con programas firmados haciendo uso de certificados legítimos los ciberdelincuentes pueden introducir programas en el equipo del usuario como si se tratasen de actualizaciones o programas del propio desarrollador. La manipulación y transferencia de esta información no es siempre correcta, y muchas veces cuando hablamos de intrusiones en los equipos de grandes compañías casi siempre se produce el robo de algún certificado, porque a la hora de instalar malware los ciberdelincuentes cuentan con una ventaja que no poseían antes.
Fuente | Softpedia