Les logiciels malveillants signés numériquement sont devenus beaucoup plus courants ces dernières années pour masquer leurs intentions. Des chercheurs en sécurité ont découvert une nouvelle campagne de malwares, qui détournent des certificats numériques valides volés par des sociétés technologiques taiwanaises, y compris D-Link, pour signer leurs programmes malveillants et les faire passer pour des applications légitimes.
Les certificats numériques, émis par une autorité de certification (CA) de confiance, sont utilisés pour signer des applications avec le chiffrement et ils sont approuvés par votre ordinateur pour l’exécution de ces programmes sans aucun avertissement. Mais les auteurs de malwares et les pirates informatiques, qui sont toujours à la recherche de techniques avancées pour contourner les solutions de sécurité, ont abusé des certificats numériques de confiance au cours des dernières années.
Les pirates utilisent des certificats de signature compromis qui sont associés à des fournisseurs de logiciels de confiance afin de signer leur code malveillant, réduisant ainsi la possibilité que leur logiciel malveillant soit détecté sur des réseaux d’entreprise et des appareils grand public. Les chercheurs en sécurité d’ESET ont récemment identifié deux familles de malwares, précédemment associées au groupe de cyberespionnageBlackTech, qui ont été signées en utilisant des certificats numériques valides appartenant au fabricant d’équipements de réseau D-Link et une autre société de sécurité taïwanaise appelée Changing Information Technology.
Le premier malware, appelé Plaider, est une porte dérobée contrôlée à distance conçue pour voler des documents confidentiels et espionner les utilisateurs. Le deuxième malware est également un voleur de mot de passe lié conçu pour collecter des mots de passe enregistrés à partir de Google Chrome, de Microsoft Internet Explorer, de Microsoft Outlook et de Mozilla Firefox. Les chercheurs ont notifié à la fois D-link etChanging Information Technology sur le problème et les entreprises ont révoqué les certificats numériques compromis le 3 juillet et le 4 juillet 2018, respectivement.
Comme la plupart des logiciels antivirus ne vérifient pas la validité du certificat même lorsque les entreprises révoquent les signatures de leurs certificats, les pirates de BlackTech utilisent toujours les mêmes certificats pour signer leurs outils malveillants.
La possibilité, de compromettre plusieurs entreprises technologiques basées à Taiwan et de réutiliser leurs certificats de signature de code lors de futures attaques, montre que ce groupe est hautement qualifié et concentré sur cette région selon les chercheurs.
Ce n’est pas la première fois que des pirates utilisent des certificats valides pour signer leur logiciel malveillant. Le tristement célèbre ver Stuxnet qui ciblait les installations nucléaires iraniennes en 2003 utilisait également des certificats numériques valides. En outre, le piratage de CCleaner 2017, dans lequel les pirates avaient remplacé le logiciel CCleaner par des téléchargements viciés, a été rendu possible grâce à la mise à jour logicielle signée numériquement.
Commentaires
Enregistrer un commentaire