Roban Certificado digital de D-Link, para firmar Malware

Los investigadores de ESET detectaron una campaña de malware la cual usaba certificados digitales robados. Esta campaña afecto a la empresa de dispositivos de red D-LINK, ya que se detecto malware que había sido firmado con los certificados digitales de esta empresa.

El equipo de ESET al confirmar que el software detectado se trababa de un Malware, informó inmediatamente a Dlink para que lograra revocar los certificados. Esto fue realizado el 3 de Julio del presente año.


El análisis demostró que se trataba de dos familias de Malware que estaban utilizando este certificado robado de manera indebida. El primer malware llamado Plead, funciona como un backdoor en los equipos infectados y el segundo contiene módulos de robo de credenciales. JPCert publicó un análisis exhaustivo de como funcionaba este malware y según TrendMicro este malware es utilizado por el grupo de CyberEspionaje BlackTech.

Otra de las empresas que se vio afectada por el robo de certificados digitales fue Changing Information Technology, el cual al igual que D-Link se vio obligado a revocar su certificado digital el 4 de Julio, ya que este mismo grupo de Cyber Espionaje también utilizo su certificado digital para firmar malware.

El uso indebido de certificados digitales es una de las muchas formas en que los ciberdelincuentes tratan de enmascarar sus intenciones maliciosas, ya que los certificados robados dejan que los malware aparezcan como aplicaciones legítimas, el malware tiene mayores posibilidades de pasar las medidas de seguridad sin levantar sospechas.

Probablemente el malware más infame que se sabe que usó varios certificados digitales robados es el gusano Stuxnet, descubierto en 2010 y el malware detrás del primer ataque cibernético para atacar la infraestructura crítica. Stuxnet usó certificados digitales robados de RealTek y uno de JMicron, dos compañías de tecnología muy conocidas con sede en Taiwán.