Un falso programa antivirus en circulación utiliza por lo menos una docena de código digital robado los certificados de firma, lo que indica que los ciberdelincuentes son cada vez más las redes de los desarrolladores de software, Microsoft ha escrito el domingo.
La solicitud de marca, como «Seguridad Antivirus Pro», fue detectado por primera vez en 2009 y ha pasado por un puñado de otros nombres en el transcurso de los años, según un asesor de Microsoft , que la llama de un solo nombre, «Win32/Winwebsec.»
Los certificados digitales emitidos por Autoridades de certificación (CA), son utilizados por los desarrolladores de «signo» los programas de software, el cual puede ser Criptográficamente comprobar para verificar que un programa no ha sido alterado y que se origina por el desarrollador que pretende escribir.
Si un hacker obtiene las credenciales de autenticación para utilizar un certificado, pueden firmar sus propios programas, que lo hace aparecer las solicitudes proceden de un desarrollador legítimo.
Las muestras de Seguridad Antivirus Pro recopilados por Microsoft utiliza robado los certificados expedidos por un número de diferentes entidades emisoras de certificados para los desarrolladores de software en diferentes lugares de todo el mundo», escribió la compañía.
Los certificados se expedirán a los desarrolladores de los Países Bajos, EE.UU., Rusia, Alemania, Canadá y el Reino Unido por CAs como, por ejemplo, VeriSign , Thawte y Comodo DigiCert, según un gráfico.
Mediante certificados robados no es una nueva táctica, pero generalmente se considera difícil de conseguir ya que los piratas informáticos han de violación una organización o de una entidad que emite los certificados.
Uno de los certificados se publicó sólo tres días antes de que Microsoft recogido muestras de Seguridad Antivirus Pro en el mismo, indicando que «los distribuidores de malware son regularmente robar nuevos certificados, en lugar de utilizar los certificados de las existencias anteriores.»
Microsoft advierte otro programa antivirus falsos, que se llama «Win32/FakePav», también está girando los certificados robados.
Win32/FakePav ha pasado por más de 30 nombres desde su detección en torno al año 2010. No utilizar cualquiera de los certificados de firma sus primeros días. El malware estuvo inactivo durante más de un año hasta que nuevas muestras se han descubierto recientemente que usa un certificado, que fue sustituido después de pocos días con otro. Ambos certificados se emitieron en el mismo nombre, pero por diferentes CA, Microsoft ha escrito.
Para evitar problemas, los desarrolladores de software deben tener cuidado de proteger las claves privadas utilizadas para firma de código almacenado de forma segura de dispositivos de hardware, como tarjetas inteligentes, tokens USB o módulos de seguridad de hardware. Si un certificado se cree que se han comprometido, el CAs puede revocarlo.
«No sólo es incómodo, y a menudo costoso, para que el certificado se sustituye, también puede resultar en la pérdida de la reputación de su empresa si es utilizado para firmar el malware», escribió la compañía.
