Pesquisadores descobrem campanha do malware Plead que se aproveita de certificados digitais roubados da D-Link

Os pesquisadores da ESET descobriram uma nova campanha de malware que usa, de forma indevida, certificados digitais roubados.

A descoberta ocorreu quando nossos sistemas detectaram vários arquivos suspeitos. O interessante é que esses arquivos foram assinados digitalmente usando um certificado válido para a assinatura do código que pertencia a D-Link Corporation. O certificado havia sido usado para assinar um software legítimo da D-Link, o que nos faz pensar que o mesmo foi provavelmente roubado.

Tendo confirmado a natureza maliciosa dos arquivos, notificamos à D-Link, que iniciou sua própria investigação sobre o assunto. Consequentemente, a D-Link conseguiu recuperar o certificado digital que havia sido comprometido em 3 de julho de 2018.

Imagem 1: Certificado de assinatura de código pertencente à D-Link Corporation usado para assinar o malware.

O malware

Nossa análise identificou duas famílias diferentes de malware que estavam usando indevidamente o certificado roubado: o malware Plead, que é um backdoor controlado de forma remota, e também um componente malicioso relacionado a um programa para roubar senhas. Recentemente, o JPCERT publicou uma análise completa do backdoor Plead, que, de acordo com a Trend Micro, é usado pelo grupo de ciberespionagem BlackTech.

Imagem 2: Certificado de assinatura de código da "The Changing Information Technology Inc." usado para assinar o malware.

Juntamente com a amostra do Plead assinada com o certificado da D-Link, os pesquisadores da ESET também identificaram amostras assinadas nas quais foi usado um certificado pertencente a uma empresa de segurança taiwanesa conhecida como Changing Information Technology Inc.

Embora o certificado da Changing Information Technology Inc. tenha sido invalidado em 4 de julho de 2017, o grupo BlackTech continua usando esse mesmo certificado para assinar suas ferramentas maliciosas.

A capacidade de envolver várias empresas de tecnologia com sede em Taiwan e reutilizar o certificado de assinatura de código em ataques mostra que o grupo é altamente qualificado e está enfocado principalmente nessa região.

As variantes das amostras do malware Plead estão altamente ofuscadas com o código lixo, mas o objetivo da ameaça é semelhante em todos os exemplos: um pequeno blob binário criptografado é baixado em um servidor remoto ou é aberto em um disco local. O blob binário contém um shellcode criptografado, que é usado para baixar o backdoor Plead final.

Imagem 3: O código ofuscado do malware Plead.

A ferramenta para roubar senhas é usada para coletar senhas salvas dos seguintes aplicativos:

• Google Chrome
• Microsoft Internet Explorer
• Microsoft Outlook
• Mozilla Firefox

Por que os certificados digitais são roubados?

O uso indevido de certificados digitais é uma das muitas formas escolhidas pelos cibercriminosos para tentar esconder suas intenções maliciosas ─ considerando que os certificados roubados permitem camuflar malware e dar a aparência de um aplicativo legítimo, aumentando as chances de que o código malicioso possa burlar as medidas de segurança sem levantar qualquer suspeita.

Provavelmente o mais conhecido entre os malwares que usou certificados digitais roubados é o worm Stuxnet, descoberto em 2010. Trata-se do malware que estava por trás de um dos ciberataques mais conhecidos quando nos referimos aos ataques a infraestrutura crítica. O Stuxnet usou certificados digitais roubados da RealTek e da JMicron, duas empresas de tecnologia reconhecidas e com sede em Taiwan.

No entanto, a tática não é exclusiva de incidentes de alto impacto, como o Stuxnet, assim como foi evidenciado por essa recente descoberta.

IoCs