Hackers venden certificados validos
Cada vez hay más aplicaciones con código firmado en las tiendas de aplicaciones, lo que hace cada vez más difícil que la mayoría de los programas maliciosos y antivirus detecten las amenazas en las nuevas aplicaciones.
Los investigadores de seguridad descubrieron recientemente que los hackers ahora están utilizando una nueva técnica que implica la utilización de certificados de firma de código. Esto asegura que una aplicación infectada con malware es más probable que evite ser detectada por la mayoría de los programas antivirus y antimalware disponibles en el mercado.
Certificados legítimos para uso ilegítimo
Esta nueva tendencia fue descubierta por una división de Recorded Future, Insikt Group. El grupo de investigadores de ciberseguridad descubrió que los hackers ahora han logrado acceder a certificados legítimos de sus autoridades emisoras, que luego usan para infectar con un código de firma peligroso.
Hasta ahora, la mayoría de los certificados siempre fueron robados de compañías legítimas. Estos certificados, a su vez, se utilizaron para extender alguna fachada de legitimidad a las aplicaciones maliciosas.
Los certificados de firma de código se usan esencialmente para hacer que una aplicación, un teléfono inteligente o una computadora basada en PC se vean más auténticos. Es una forma de establecer confianza entre el usuario y el fabricante de la aplicación. Una vez que el usuario abre una aplicación con código firmado, le brinda detalles sobre el desarrollador y le da una dimensión adicional de integridad a la aplicación. Algunos sistemas operativos, como Mac o iOS, solo aceptan aplicaciones con código firmado de forma predeterminada para proteger a sus usuarios.
Las aplicaciones con código firmado contribuyen en gran medida a garantizar que los usuarios confíen en la aplicación antes de descargarla. Además, las aplicaciones con código firmado facilitan a la aplicación eludir la detección del software antimalware ya que la mayoría de los software confían automáticamente en aplicaciones con código firmado. Según Insikt Group, la mayoría del hardware no está equipado para detectar amenazas en aplicaciones con código firmado, ya que sus capacidades de escaneo son significativamente menos efectivas si la aplicación demuestra propiedades con código firmado.
Aplicaciones con código firmado explotadas
Los hackers ahora están explotando la confianza que proporcionan las aplicaciones con código firmado y están haciendo que los certificados de firma de código estén ampliamente disponibles por solo $ 299. Si bien esto definitivamente no es dinero de bolsillo, es mucho más barato que la alternativa. Los certificados legítimos firmados con código a menudo implican una fase de prueba rigurosa para determinar si la aplicación es confiable y, a menudo, viene a precios que comienzan en $ 1,599.
Según los investigadores, los certificados fraudulentos con código firmado fueron tomados de expertos líderes en la industria como Symantec y Comodo, que son ambos propiedad de DigiCert.
Los certificados de Apple también están a la venta
De acuerdo con el investigador de seguridad de Cybereason y especialista en malware de Mac, Amit Serper, aunque Mac le prohíbe ejecutar cualquier programa que no tenga código, muchos hackers han encontrado su camino a su alrededor. Por ejemplo, para que un desarrollador distribuya sus aplicaciones en la App Store de Apple, tiene que solicitar una cuenta de desarrollador, pagar una tarifa de $ 99 y motivar a su aplicación para que certifique sus aplicaciones. Este proceso, sin embargo, es muy fácil ya que la red de Apple está inundada de desarrolladores que piden certificación.
Serper agregó que hay varias aplicaciones fraudulentas basadas en Mac y iOS disponibles que contienen malware. Por ejemplo, el investigador de seguridad descubrió recientemente, Pirrit, un virus adware que inyecta anuncios en el navegador del usuario. Según Serper, Pirrit tenía un código de firma que le permitía evadir la detección.
El investigador de Insikt Group cree que las empresas de certificación no saben que se está abusando de sus certificados de firma de códigos. Según el director de la colección avanzada de Recorded Future, Andrei Barysevich, los piratas informáticos accedieron a estos certificados robados robando la información de acceso de las compañías. Barysevich agregó que Recorded Future no tenía motivos para creer que los hackers recibieron ayuda interna.
Los investigadores estimaron que esta campaña ha estado activa durante los últimos seis meses en la que los piratas informáticos vendieron más de 60 certificados