News

Mirtos y guayabas, Episodio 2

Tras haber concluido el episodio 1 con una broma sobre botánica, es hora de continuar nuestro viaje hacia las raíces del troyano para explorar su firma digital.

Los programas maliciosos con firmas digitales son una pesadilla para los desarrolladores de antivirus. Las firmas digitales tienen una gran responsabilidad: comprueban que una aplicación es legítima y son una pieza clave de la seguridad informática. También influyen de manera considerable en la efectividad de una solución de seguridad: no es ningún secreto que los programas de seguridad clasificarán a un archivo con una firma digital como un archivo “confiable” y casi siempre lo agregarán a una lista de admitidos de forma automática.

Sin embargo, a veces los cibercriminales hallan la forma de conseguir una firma o certificación digital para sus propios códigos maliciosos. Hemos estado viendo esto con regularidad en los troyanos para teléfonos móviles. Cuando identificamos casos como este, notificamos a la autoridad correspondiente de las empresas de certificación, que procede a revocar el certificado.

Sin embargo, en el caso de Stuxnet la situación es muy sospechosa. El troyano no cuenta con cualquier firma digital desconocida, sino con la de Realtek Semiconductor, uno de los mayores productores de equipos informáticos.

No es posible revocar el certificado de una empresa tan grande porque se invalidaría una enorme cantidad de programas legítimos de Realtek.

Volviendo al troyano, analicemos la situación por partes. Stuxnet crea los dos archivos siguientes: %SystemRoot%system32Drivers: mrxcls.sys, mrxnet.sys

Estos archivos están diseñados para complementar la funcionalidad de rootkit del troyano: los archivos esconden el malware en el sistema y en aparatos USB infectados. Estos son los archivos que tienen la firma digital:

Los archivos recibieron la certificación el 25 de enero de 2010, pasaron muchos meses entre la creación de los archivos y su primera detección, a mediados de junio.

La pregunta que todos nos hacemos es ¿Cómo consiguieron la certificación los cibercriminales?

Alguien en la oficina de al lado me indicó que pueden haber empleado un exploit conocido, pero este método no se puede usar para firmar archivos al azar.

Así que viajemos hasta el sitio de Verisign para comprobar si este certificado existe de verdad y si la empresa en realidad lo emitió.

Como se ve en la imagen, el certificado es legítimo.

La única irregularidad es que el certificado expiraba el 12 de junio de 2010, una fecha que coincide con los días en que VBA lo identificó por primera vez.

¿Esto significa que la firma hizo que el troyano fuera “invisible” para las soluciones antivirus durante meses? Quizás.

Todo indica que alguien que tiene el poder de validar archivos en Realtek certificó este troyano.

Todavía no nos hemos comunicado con Realtek para informarles sobre esta teoría. Tenemos entendido que VBA se comunicó con ellos y todavía no han recibido una respuesta. Lo que podemos hacer, y ya hemos hecho, es utilizar KSN para asegurarnos de que nuestros productos bloqueen esta firma digital.

¿Es este troyano una amenaza grave? ¿Cuánto se ha expandido? Las respuestas a estas preguntas nos pueden ayudar a llegar a la raíz del problema.

Continuará…

Mirtos y guayabas, Episodio 2

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada