21 may 2013

Ataques dirigidos en Asia utilizan ejecutables firmados para conseguir su objetivo

Jean-Ian Boutin, investigador en los laboratorios de ESET, ha publicado un interesante artículo sobre una nueva amenaza dirigida a infectar ordenadores en Pakistán, aunque también se incluyen otros países, entre ellos España. Norman también ha publicado información al respecto.

En los últimos meses hemos analizado una campaña de ataques dirigidos que intentó robar información confidencial de diferentes organizaciones de todo el mundo, pero especialmente en Pakistán. Durante el transcurso de nuestras investigaciones descubrimos varias pistas que indicaban que esta amenaza tenía su origen en India y ha estado activa durante dos años por lo menos. Nuestra investigación empezó con un certificado de firma de código y un exploit, ampliándose el alcance de la investigación desde entonces.

Certificado de firma de código

Para realizar parte de esta campaña de ataques se utilizó un certificado de firma de código para poder firmar archivos ejecutables y mejorar su potencial para propagarse. Este certificado fue otorgado a finales de 2011 a una empresa India llamada Technical and Comercial Consulting Pvt. Ltd., con sede en Nueva Delhi.

Cuando empezamos nuestra investigación comprobamos que el certificado había sido retirado para aquellos archivos firmados después del 31 de marzo de 2012. Contactamos con VeriSign con pruebas de que este certificado había sido usado de forma maliciosa desde que fue generado y este se retiró de forma rápida e incondicional. En total, encontramos más de 70 ejecutables maliciosos que habían sido firmados usando este certificado.

Debido a que cada muestra firmada viene con una marca de tiempo autorizada, nos es posible dibujar una línea temporal que representa cuándo fueron producidos estos archivos.

Contenido completo en fuente original Blog Ontinet

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!