Criminali informatici rubano due certificati digitali a D-Link per firmare malware

I criminali informatici, con l’intento di far passare inosservati librerie ed eseguibili malevoli, sono sempre più soliti firmare digitalmente i file.
Le principali società attive nella progettazione e nello sviluppo di soluzioni per la sicurezza, hanno da tempo rilevato come gli aggressori tentino, sempre più spesso, di sottrarre certificati digitali assolutamente validi alle aziende attive nel settore IT.

Questa volta è toccato a D-Link, società taiwanese che produce e commercializza dispositivi per il networking e dispositivi elettronici.
Con un comunicato ufficiale, D-Link ha denunciato la sottrazione di un paio di certificati digitali di sua proprietà che sono stati poi usati da un gruppo di criminali informatici per firmare componenti dannosi.

Come spiegano i tecnici di ESET, autori della scoperta, i certificati sono stati usati per firmare Plead, un malware che apre una backdoor sul sistema della vittima permettendo il monitoraggio delle attività dell’utente e la sottrazione di informazioni riservate.
In un altro caso i certificati sono stati sfruttati per firmare digitalmente un password stealer ovvero un componente malevolo capace di sottrarre le credenziali memorizzate in Google Chrome, Microsoft Internet Explorer, Microsoft Outlook e Mozilla Firefox.

Dal momento che molti antimalware non controllano la validità dei certificati e non verificano quando essi vengono revocati (come nel caso di D-Link), gli sviluppatori di software malevoli restano spesso in una posizione avvantaggiata.