Detectan malware con certificado digital para aparentar legitimidad

Investigadores de la empresa de seguridad F-Secure han detectado una muestra rara de software malicioso que lleva un código válido de certificado de firma digital, que proviene de una institución gubernamental de Malasia.

Un certificado de firma de código es una especie de firma digital que garantiza la autenticidad y la integridad de una aplicación que se ejecuta en un equipo. Los programas maliciosos de software a menudo presentan falsas firmas digitales, pero es raro encontrar certificados digitales legítimos en el malware, tal y como explica Mikko Hypponen, director de investigación de F-Secure.

El certificado fue firmado por "anjungnet.mardi.gov.my", que forma parte del Instituto de Investigación y Desarrollo Agrícola de Malasia. Hypponen asegura que F-Secure se ha puesto en contacto con la organización, quien descubrió que un servidor Windows (responsable de generar los certificados) había sido hackeado.

El organismo no sabe por cuánto tiempo el servidor ha podido estar en peligro, explica Hypponen.

Este responsable explica que el malware que utiliza el certificado es un " backdoor ", o aplicación que puede robar información o descargar otros programas al ordendor infectado. El malware se distribuye en un archivo PDF que ha sido modificado para explotar una vulnerabilidad en Adobe Reader 8.

La obtención de la clave secreta no es suficiente para generar un certificado de firma de código, sentencia Hypponen. Un atacante también tendría que saber la contraseña con el fin de generar un certificado. Este responsable considera que podría haber sido obtenido mediante la infección de uno de los equipos de la organización con un programa keylogger