Debido a las cada vez mayores protecciones incorporadas en y a los sistemas operativos, los desarrolladores de malware se las tienen que ingeniar para saltárselas, y para alcanzar dicha meta no podían faltar los certificados digitales falsos para hacer pasar el malware por software legítimo, según un informe publicado por Recorded Future.

Los certificados falsos actúan como si fuesen legítimos, haciendo que el malware resulte invisible para una gran cantidad de soluciones antimalware. Desde Recorded Future reconocen que dichos certificados, que se venden en el mercado negro, no resultan baratos, pero su precio se justifica si se tiene en cuenta el aumento en la efectividad que proporcionan. De momento parece que el principal mercado se centra en Europa del Este, con los delincuentes rusos como principales clientes.

Hay que tener en cuenta que no estamos hablando de certificados robados, sino de otros que son creados por los cibercriminales utilizando información real procedente de las entidades certificadoras. Esto aumenta tanto la posibilidad de que puedan hacerse pasar por auténticos como su atractivo en el mercado negro, con hackers que están dispuestos a pagar con el fin de aumentar la efectividad del malware que desarrolla.

Sobre la capacidad de detectar certificados falsos, sus vendedores reconocen que la seguridad de Google Chrome es de largo más efectiva y poderosa, por lo que los cibercriminales son conscientes de que las posibilidades de éxito se reducen cuando se ataca a alguien que usa ese navegador web. Según parece, esto es debido a que Chrome tiene sus propias metodologías para diferenciar sitios web legítimos de otros que son falsos, permitiéndole bloquear o al menos advertir de un sitio web incluso si su actividad maliciosa está escondida detrás de un certificado.

De hecho, ya hay precedentes sobre malware cuya difusión ha sido un éxito gracias a la utilización de certificados falsos. Uno de estos es Stuxnet, que formó parte de los planes de ciberataques de Estados Unidos. Hace años los certificados falsos eran caros y solo los estados podían permitirse su compra, pero en la actualidad son más baratos y pueden ser usados por ciberdelincuentes con menos poder adquisitivo. Aun así su precio sigue siendo relativamente elevado y sin estar al alcance de todos los cibercriminales.

El 2017, un documento de la Universidad de Maryland resalta el problema y se muestra que el malware se firma y esto tiene varias derivaciones de seguridad de seguridad. Por ejemplo, el grupo showcased mostró cómo firmar código con certificados de las compañías Thawte, Comodo y Verisign.

Pese a todo, debido a que van dirigidos a organizaciones con un mayor poder adquisitivo, los certificados digitales no son más que una pequeña inversión que permite aumentar de forma notable las probabilidades de éxito de los ataques lanzados.

Por suerte, este tipo de certificados no está al alcance de todos debido a su precio. Hacerse con una firma digital [PDF] y con un certificado SSL fiable para una página web puede rondar desde los 299 dólares, en el modelo más básico, hasta los 1.799 dólares en el modelo más avanzado, una firma con Extended Validation (el máximo nivel de confianza) para el código y la conexión.

Las autoridades de certificación más utilizadas son Comodo, Thawte y Symantec.

Precios firmas digitales
Además, implementar el certificado digital no garantiza que nuestro malware vaya a evadir al antivirus, ya que esto solo ayudará a que lo haga, pero aun así tendremos que contar con otras medidas de seguridad y evasión para hacer que la amenaza pueda ser totalmente invisible.

Por ello, salvo en el caso de las grandes organizaciones de piratas informáticos que igual podrían permitirse la inversión para llevar a cabo ataques masivos, para un pequeño pirata informático, sin una fuente de ingresos segura, es una inversión considerable.

Fuente: seguinfo

Compartir