La empresa de seguridad informática ESET, descubrió un ataque que está afectando certificados digitales de D-Link y de la firma de seguridad Changing Information Technologies, Inc.
Ambas compañías fueron inmediatamente comunicadas por ESET sobre el hallazgo y ya han revocado los certificados digitales en cuestión. No es la primera vez que una de estas empresas tiene problemas de seguridad, ya hace 3 años un investigador de la empresa holandesa de seguridad Fox IT, llamado Yonathan Klijnsma, comentó que la firma D-Link, el conocido fabricante de routers, switches y cámaras de seguridad, por error publicó una clave privada de cifrado que es usada para certificar la legitimidad de su software.
El grupo de hackers, que de acuerdo a ESET es altamente cualificado, robó y utilizó los certificados de las dos empresas de Taiwán. Esto fue detectado por los sistemas de ESET que descubrieron varios ficheros sospechosos que habían sido firmados digitalmente a través de estos certificados digitales robados de la empresa D-Link Corporation. El descubrimiento se produjo pues uno de los certificados ya se había utilizado para validar software de D-Link, por lo que se encontraron ante la posibilidad de que el certificado podría ser robado.
Luego los investigadores de ESET llevaron a cabo un análisis profundo que les permitió identificar dos familias diferentes de malware que estaban usando el certificado, uno era el malware Plead y el otro un Keylogger usado para robar contraseñas que se encuentran guardadas en aplicaciones entre las que se encuentran Firefox, Outlook, Chrome e IE. En cuanto a Plead es un malware del tipo backdoor que se controla remotamente.
Pero lo anterior no es todo, junto con el certificado de D-Link, los investigadores también descubrieron un certificado que fue utilizado perteneciente a Changing Information Technologies, el cual si bien fue revocado por esa empresa en el 2017, el grupo de cibercriminales lo siguió utilizando para firmar el software que utilizan para sus actividades criminales.
Con respecto a este tema el responsable de investigación y concienciación de ESET España, Josep Albors, señaló lo siguiente,
El uso indebido de certificados digitales es una de las maneras que eligen los cibercriminales para intentar ocultar sus intenciones maliciosas, ya que los certificados robados permiten camuflar el malware y dar la apariencia de ser una aplicación legítima, aumentando las posibilidades de que el código malicioso logre evadir las medidas de seguridad sin levantar sospechas.