Falso antivirus emplea certificados digitales robados y evita su detección

0

 

Los creadores de malware, que empezaron a “colarnos” soluciones antivirus falsas allá por 2008, están ahora pasando al siguiente nivel vulnerando la confianza de los usuarios. Bitdefender ha compartido las muestras encontradas sobre ciertos antivirus falsos, entre ellos uno denominado Antivirus Security Pro, una subespecie de antivirus falso que trae consigo un instalador firmado digitalmente, para así evitar que los mecanismos de protección de los verdaderos antivirus se activen contra ellos.

Sobre el instalador, este es distribuído por Internet y está firmado con un certificado digital emitido por Ease Entertainment Services LLC el 22 de Novimebre del pasado año. El certificado digital aún es válido (no ha sido revocado hasta la fecha). Lo más probable es que fuera robado.

Certificado digital robado

Aunque el certificado robado es aún válido para cerca de un año (expira en Noviembre de 2014), los cibercriminales no han modificado su firma temporal para extender su período de validez, probablemente porque saben que acabará siendo revocado pronto. Los certificados robados, como este, son un negocio en sí mismos, pero debido a su naturelza tan delicada son revocados rápidamente en estas situaciones.

Esta no es la única familia de Falsos antivirus que ha estado abusando de certificados ajenos en los últimos tiempos: a comienzos de este mes conocimos el caso de WinWebSec, antivirus simulado que abusaba de certificados robados de la empresa Ingenieursbureau Matrix B.V. Dicho certificado fue rápidamente revocado tras la identificación del uso fraudulento, pero cientos de muestras de malware firmadas con él ya estaban surcando la red.

¿Por qué es tan importante una firma digital?

Las aplicaciones digitalmente firmadas aseguran (o deberían asegurar) la integridad y confiabilidad de su código. Los archivos firmados digitalmente proceden de empresas especializadas que los escrutinan continuamente y son aceptadas por las autoridades certificadoras. Es el motivo por el que los antivirus continúan ignorando los certificados digitales para así optimizar los tiempos de análisis.

Además, los sistemas operativos modernos tratan los archivos firmados digitalmente de distintas formas, por ejemplo, cuando pretenden realizar cambios en el sistema. Es el motivo por el que Windows nos indicará -mediante el Control de Cuentas de usuario– que un programa está elevando privilegios para realizar modificaciones y lo bloquea hasta que ofrezcamos el consentimiento. Esto no ocurre en versiones anteriores a Windows Vista.

Aplicación firmada digitalmente (izquierda) y un ejecutable común (derecha) intentando elevar privilegios de administrador. El módulo UAC nos avisa de distinta manera

Aplicación firmada digitalmente (izquierda) y un ejecutable común (derecha) intentando elevar privilegios de administrador. El módulo UAC nos avisa de distinta manera.

La entidad ya ha sido informada del problema y están en vías de proceder a la revocación definitiva. Mientras tanto, debemos asegurarnos de realizar descargas de sitios absolutamente fiables, sin importar si están firmadas o no.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR