Google advierte sobre una nueva forma en que los piratas informáticos pueden hacer que el malware sea indetectable en Windows

Los investigadores de ciberseguridad han revelado una técnica novedosa adoptada por un actor de amenazas para evadir deliberadamente la detección con la ayuda de firmas digitales mal formadas de sus cargas útiles de malware.

«Los atacantes crearon firmas de código mal formadas que Windows considera válidas, pero que no pueden ser decodificadas o verificadas por el código OpenSSL, que se utiliza en varios productos de escaneo de seguridad», dijo Neel Mehta de Google Threat Analysis Group en un artículo. publicado el jueves.

Copias de seguridad automáticas de GitHub

Se observó que el nuevo mecanismo fue explotado por una familia notoria de software no deseado conocida como OpenSUpdater que se utiliza para descargar e instalar otros programas sospechosos en sistemas comprometidos. La mayoría de los objetivos de la campaña son usuarios ubicados en los EE. UU. Que son propensos a descargar versiones descifradas de juegos y otro software de área gris.

Los hallazgos provienen de un conjunto de muestras de OpenSUpdater cargadas a VirusTotal al menos desde mediados de agosto.

Si bien los adversarios en el pasado han confiado en certificados digitales obtenidos ilegalmente para infiltrar adware y otro software no deseado más allá de las herramientas de detección de malware o para incrustar el código de ataque en componentes de software confiables firmados digitalmente al envenenar la cadena de suministro de software, OpenSUpdater se destaca por su uso intencional. de firma mal formada para deslizarse a través de las defensas.

Malware indetectable en Windows

Los artefactos están firmados con un certificado X.509 de hoja no válido que se edita de tal manera que el elemento ‘parámetros’ del campo SignatureAlgorithm incluye un marcador de fin de contenido (EOC) en lugar de una etiqueta NULL. Aunque tales codificaciones son rechazadas como inválidas por los productos que usan OpenSSL para recuperar información de firmas, las verificaciones en los sistemas Windows permitirían que el archivo se ejecute sin advertencias de seguridad.

Gestión de contraseñas empresariales

«Esta es la primera vez que TAG observa a los actores que utilizan esta técnica para evadir la detección y al mismo tiempo preservar una firma digital válida en archivos PE», dijo Mehta.

«Las firmas de código en los ejecutables de Windows brindan garantías sobre la integridad de un ejecutable firmado, así como información sobre la identidad del firmante. Los atacantes que pueden ocultar su identidad en firmas sin afectar la integridad de la firma pueden evitar la detección por más tiempo y extender la vida útil de sus certificados de firma de código para infectar más sistemas «.

Fuente: https://thehackernews.com/2021/09/google-warns-of-new-way-hackers-can.html

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información