ElevenPaths descubre malware que instala certificados raíz en Windows y Firefox automáticamente

ElevenPaths descubre malware que instala certificados raíz en Windows y Firefox automáticamente

El malware y el mundo de los certificados parecen condenados a entenderse, y cada vez más.
En ElevenPaths hemos encontrado otra evolución que le da una pequeña vuelta de tuerca a esta técnica de inyectar certificados raíz en el sistema. Veremos aquí en qué consiste el detalle y repasamos algunos incidentes anteriores.

Nueva crisis de identidad: malware para la instalación de certificados raíz

Los certificados digitales proporcionan una funcionalidad similar a los documentos de identificación como el DNI y el pasaporte, con la salvedad de que en su caso sirven para certificar a personas, equipos y otras entidades en la red. El mundo de los certificados y el malware, siempre han tenido cierta relación pero, según los últimos descubrimientos, parecen condenados a entenderse. Se han detectado muestras que inyectan certificados raíz legítimos en el sistema de forma transparente al usuario, lo que permite el phishing perfecto, entre otros tipos de ataques.

De esta manera, desde ElevenPaths se han identificado por primera vez nuevas prácticas relacionadas con certificados raíz, tanto su instalación en el sistema (algo no habitual hasta ahora) como su proceso de inyección. Con estos métodos, el malware habría conseguido atribuirse el punto máximo de confianza del que carecía.

Key Threat: validación de la instalación de los certificados por parte del malware
Recientemente, empresas de antivirus identificaron malware que instalaba un certificado raíz legítimo de COMODO pidiendo al usuario que fuera él mismo quien validara la instalación. Un certificado raíz en el sistema, aunque legítimo pero perteneciente a un atacante, permite que el malware redirija a la víctima a páginas falsas firmadas con certificados del atacante pero que se verán perfectamente legítimas en el navegador de la víctima.

Sin embargo, en ElevenPaths hemos observado además una evolución en la que es el propio malware el que valida la instalación del certificado. O sea, se encarga de hacer desaparecer la ventana de seguridad para que la víctima no perciba la instalación pulsando las teclas necesarias para la instalación, sin dar oportunidad al usuario de arrepentirse. De esta manera, el certificado raíz queda así inyectado para la fase posterior del ataque.

Key Threat: el certificado raíz también se instala en el TrustStore de Firefox

En ElevenPaths se ha descubierto que este malware no sólo inyecta un certificado raíz en el sistema, sino también en el TrustStore de Firefox sin ningún tipo de advertencia. Esto permite al atacante que, independientemente del navegador de la víctima, la segunda fase del ataque tenga éxito. Además, en este navegador el malware elimina cualquier referencia a un proxy en su configuración, probablemente para evitar que nada interfiera en la comunicación.

La aplicación maliciosa es detectada ya por los antivirus, sin embargo, el certificado no ha sido revocado aún y parece que lleva circulando desde finales de 2015.

Se trata de un nuevo crimen perfecto susceptible de convertirse fácilmente en una tendencia que podría aprovechar el malware bancario para abusar de forma sencilla de los certificados raíz legítimos.

Desde ElevenPaths se recomienda no abrir ficheros no solicitados y tomar las medidas de seguridad necesarias en el sistema operativo, como actualizar el software e instalar sistemas antimalware. Además, ElevenPaths recomienda a Firefox la implantación de algún sistema que alerte de la modificación de su TrustStore, además de a Windows, que proteja (con tecnología UAC, por ejemplo) la instalación de certificados raíz.

» Descárgate la investigación sobre “Malware para la instalación de certificados raíz”.


facebooktwitterlinkedinmail