Google detecta una nueva técnica para infiltrarse en las herramientas de detección de malware



Investigadores del Grupo de Análisis de Amenazas (TAG) de Google han descubierto lo que describen como una nueva técnica de un atacante con motivaciones financieras para infiltrar adware y otro program no deseado más allá de las herramientas de detección de malware.

En una publicación de weblog esta semana, el investigador de Google Neel Mehta describió al actor de amenazas como el uso de un certificado de firma de código de software package de una autoridad de certificación legítima para crear firmas que no pueden ser decodificadas o inspeccionadas por herramientas de seguridad que usan código OpenSSL pero que son aceptadas como válido por Windows.

Este atacante ha estado utilizando estas firmas para distribuir OpenSUpdater, una familia de malware conocida que se utiliza para instalar otro software no deseado y potencialmente dañino en los sistemas infectados. Se ha observado que el operador de OpenSUpdater intenta infectar tantos sistemas como sea posible en lo que parece ser una forma oportunista. Si bien el grupo no tiene objetivos específicos, la mayoría de las víctimas se encuentran en los EE. UU. Y parecen ser personas propensas a descargar computer software para descifrar juegos y «software de área gris» related. Mehta dijo.

Los desarrolladores de software usan certificados de firma de código de autoridades confiables para firmar código ejecutable para validar sus identidades y confirmar que el software es legítimo. Los navegadores, las herramientas de detección de malware y los sistemas operativos utilizan estas firmas para verificar si se puede confiar en que un fragmento de código en unique se ejecute en el entorno. Durante bastante tiempo, los atacantes han utilizado certificados digitales robados o obtenidos ilegalmente para eludir las herramientas de detección de malware y ampliar la capacidad de su malware para pasar desapercibido en sistemas y redes comprometidos.

En un incidente reciente, Microsoft firmó inadvertidamente un controlador malicioso enviado para validación a través de su Programa de compatibilidad de components de Home windows (WHCP). El controlador firmado, llamado «Netfilter», se distribuyó en entornos de juego en China y básicamente les dio a los jugadores chinos una forma de falsificar su geolocalización para poder jugar desde cualquier lugar. El incidente llevó a Microsoft a anunciar un cambio en sus procesos y políticas para examinar los controladores enviados por terceros a través de WHCP.

En otros casos, los atacantes han infiltrado código malicioso más allá de los sistemas de detección al incrustar el código en componentes de application confiables firmados digitalmente. El ejemplo reciente más notable es el ataque a SolarWinds, en el que los actores de amenazas ocultaron un troyano en actualizaciones firmadas del computer software Orion de la empresa.

Lo que es diferente con OpenSUpdater es el uso de una firma deliberadamente mal formada para evadir la detección. Desde al menos mediados de agosto, el autor del malware ha estado firmando muestras de OpenSUpdater con una firma que ha sido editada de una manera que los productos de seguridad basados ​​en OpenSSL no pueden analizar ni decodificar. Se ha observado que grupos de muestras de OpenSUpdater están firmados con la misma firma mal formada.

«Los productos de seguridad que utilizan OpenSSL para extraer la información de la firma rechazarán esta codificación como inválida», dijo Mehta. «Sin embargo, para un analizador que permite estas codificaciones, la firma digital del binario parecerá legítima y válida».

Dado que el sistema operativo Home windows trata la firma como válida, Google ha informado del problema a Microsoft, dijo.

Según Mehta, esta es la primera vez que el TAG de Google observa a un actor de amenazas que utiliza una firma electronic deliberadamente mal formada para evadir las herramientas de detección de malware.

«Desde que descubrieron por primera vez esta actividad, los autores de OpenSUpdater han intentado otras variaciones de codificaciones no válidas para evadir aún más la detección», dijo Mehta, sin ofrecer más detalles.



Enlace a la noticia primary