11 mar. 2019

Mercado de Certificados TLS y empresas falsas en la Dark Web

Según una investigación de Venafi, la Universidad de Surrey y el Grupo de Investigación de Ciberseguridad basada en la Evidencia en la Escuela de Estudios de Políticas Andrew Young en la Universidad Estatal de Georgia, y que se dio a conocer en la Conferencia RSA 2019 en San Francisco esta semana, está surgiendo un nuevo y próspero Mercado de Certificados TLS en la Dark Web [PDF]. Se están vendiendo certificados con una variedad de malware y otros servicios auxiliares.

Echando un vistazo a cinco de los mercados representativos en la red, Dream Market, Wall Street Market, BlockBooth, Nightmare Market y Galaxy3, descubrieron que todos ellos están esencialmente ofreciendo kits llave en mano a los delincuentes que desean falsificar sitios web, espiar el tráfico cifrado, realizar ataques de intermediarios y robar datos confidenciales.
Los certificados TLS legítimos permiten a los adversarios configurar nuevos sitios de phishing que parecen inocuos para las medidas de seguridad. Los investigadores encontraron certificados de validación extendidos (EV) amplificados con otros servicios como sitios web ya indexados hace tiempo por Google, soporte postventa, servicios de diseño web e incluso integración con una variedad de procesadores de pago, incluidos Stripe, PayPal y Square.

Por ejemplo, se venden los certificados y se proporciona el diseño de tiendas de comercio electrónico "confiables" destinadas a respaldar la operación de actividades fraudulentas en línea.

También se ofrecen "dominios antiguos", es decir, sitios web que han estado activos durante un largo período de tiempo, lo que hace que parezcan más legítimo, transmiten mayor confianza a los visitantes y a los motores de búsqueda.

El análisis revela que al menos uno de los proveedores se compromete a emitir certificados de Autoridades de Certificación acreditadas junto con documentación falsificada de la compañía, incluidos los números D-U-N-S, que son números de identificación únicos de nueve dígitos que corresponden a la ubicación física de una empresa. Este paquete de productos y servicios permite a los atacantes presentarse de forma creíble como una empresa de EE. UU., a un precio extremadamente asequible para un delincuente: menos de U$S 2.000.

Otro proveedor ofrecía soporte completo para establecer la identidad de una empresa en el Reino Unido, además de toda la documentación legal requerida asociada con el proceso. Por U$S 150, el cliente solo necesita proporcionar los nombres de la compañía y del propietario, así como algún tipo de dirección física. Si los compradores no tienen una dirección física, el proveedor ofrece proporcionar una por U$S 100 adicionales.

"Un aspecto muy interesante de esta investigación fue ver los certificados TLS empaquetados con otros servicios completos, con el fin de brindar a los atacantes acceso inmediato a altos niveles de confianza y credibilidad en línea", dijo David Maimon, investigador de seguridad y autor del informes. "Fue sorprendente descubrir lo fácil y económico que es adquirir certificados de validación extendidos, junto con toda la documentación necesaria para crear compañías muy creíbles sin ninguna información de verificación".

En general, se observó que los cinco mercados ofrecen un suministro constante de certificados SSL / TLS junto con una gama de servicios y productos relacionados. Los precios de los certificados varían de U$S 260 a U$S 1.600, según el tipo de certificado ofrecido y el alcance de los servicios adicionales.

Una búsqueda representativa de estos cinco mercados descubrió 2.943 menciones para "SSL" y 75 para "TLS". En comparación, hubo solo 531 menciones para "ransomware" y 161 para "Zero-Day". También fue evidente que algunos mercados, como Dream Market, se especializan en la venta de certificados TLS. Además, los investigadores descubrieron que los certificados a menudo se empaquetan con otro software criminal, incluido el ransomware.

"Este estudio encontró evidencia clara de la venta de certificados TLS en Dark Web", dijo Kevin Bocek, vicepresidente de seguridad e inteligencia de amenazas para Venafi. "Los certificados TLS que actúan como identidades confiables son claramente una parte clave de los kits de herramientas de ciberdelincuentes, como bots, ransomware y spyware".

Fuente: ThreatPost

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!