El robo de certificados digitales es algo bastante habitual a lo que deben enfrentarse las compañías propietarias y los usuarios. Os preguntaréis que porqué nosotros también nos vemos afectados. La respuesta es muy sencilla: los ciberdelincuentes utilizan estos para firmar malware. Un ejemplo de esta práctica es el troyano Spymel, detectado hace unos días y que afecta a equipos Windows.
Los expertos en seguridad de la empresa Zscaler han sido los encargados de dar la voz de alarma y alertar sobre la presencia de esta amenaza que en principio se está distribuyendo haciendo uso de correos electrónicos spam y páginas web que han sido hackeadas, utilizando estas para redirigir la navegación de los usuarios al contenido malware.
Los propietarios de la amenaza han pensado en todo y en primer lugar lo que el usuario descarga no es nada más y nada menos que un archivo JavaScript que se encarga de verificar el grado de seguridad que existe en el equipo para posteriormente llevar a cabo la descarga del archivo .NET que en esta ocasión sí es el instalador de la amenaza.
Teniendo en cuenta que las herramientas de seguridad y sistemas operativos se basan en listas negras de certificados y bloquean la instalación de aquellos que no están firmados, los ciberdelincuentes se han valido de algunos que han sido sustraídos para firmar el troyano y así pasar desapercibido.
Los expertos de Zscaler creen que aunque ahora es cuando más se está haciendo notar, las primeras infecciones aparecieron el pasado mes de diciembre y no llegaron a una docena.
Spymel posee un servidor de control y puede funcionar como puente para la llegada de más programas no deseados
Los expertos han detallado que el malware posee un módulo que impide que el usuario sea capaz de matar el proceso que se encuentra en segundo plano en el sistema y que evita que se lleve a cabo la desinstalación del mismo. Incluso están barajando la hipótesis de que la amenaza copia parte de su código en otros procesos legítimos y así iniciarse de nuevo sin que el usuario sea capaz de encontrar el motivo.
A todo esto hay que añadir que posee un servidor de control alojado en la dirección 213.136.92.111 y el puerto TCP 1216. Por lo tanto, si no sabéis si estáis afectados y en vuestro firewall veis esta conexión activa lo mejor es proceder a su bloqueo.
El contacto con el servidor no solo sirve para actualizar y recibir nuevas funcionalidades, sino que han detectado que el troyano es capaz de servir como puente para la llegada de más aplicaciones no deseadas por el usuario, por lo que es probable que si estamos infectados no solo sea este el problema y sea necesario hacer frente a adware, ransomware o incluso otros troyanos.
Fuentes: Redes Zone