Malware usa certificados legítimos para lançar ataques cibernéticos
Por Felipe Demartini | Editado por Claudio Yuge | 27 de Dezembro de 2021 às 15h42
O uso de certificados digitais válidos virou a principal arma de uma nova campanha maliciosa, focada em comprometer sistemas Windows para o lançamento de novos ataques cibernéticos. Chamada de Blister, a ameaça teria uma taxa de detecção baixa por softwares de segurança devido ao uso de diferentes táticas de ofuscação em golpes que acontecem, pelo menos, desde setembro deste ano.
- Saúde foi setor mais afetado por tentativas de ciberataques em 2021
- Ransomware dirigido a empresas cresce cerca de 150% no Brasil em 2021
A principal delas, conforme o alerta feito pelos especialistas da Elastic, é o uso de um certificado válido e atualizado, fornecido pela Sectigo em nome de uma empresa chamada Blist LLC. A praga pode aparecer incorporada a bibliotecas legítimas de desenvolvimento, softwares ou atualizações de serviço. Em qualquer dos casos, o uso do documento digital permite que a ameaça seja executada com privilégios de administrador e até anuência do usuário, que confia naquela assinatura como legítima.
Uma vez executado, o Blister permanece dormente pelos minutos iniciais, como forma de evitar monitoramentos e análises durante a instalação das soluções. Na sequência, entra em ação com malwares de acesso remoto capazes de levar a ataques de ransomware, roubo de dados, mineração de criptomoedas e movimentos laterais. Ele já foi usado em golpes envolvendo pragas conhecidas como Cobalt Strike e BitRAT.
Mesmo depois de lançar ofensivas adicionais, o Blister é capaz de permanecer no sistema operacional, se disfarçar como um executável legítimo e se incorporar à lista de apps que são inicializados junto com o sistema operacional. Assim, ele permanece à disposição dos atacantes para novos golpes, principalmente enquanto as principais plataformas de segurança ainda são incapazes de detectar sua existência.
Combinação de táticas
Os especialistas da Elastic apontam para o uso de certificados legítimos como uma nova alternativa para os criminosos. Até então, eram múltiplas as detecções relacionadas a assinaturas roubadas; agora, porém, empresas cujos sistemas foram comprometidos são usadas para a realização de pedidos que também têm a aparência de autênticos para as fornecedoras desse tipo de garantia, ampliando o poder de alcance destes golpes.
Segundo a Elastic, a Sectigo já foi notificada para que o certificado usado pelo Blister seja revogado. Enquanto os vetores iniciais de entrada não foram identificados pelos especialistas, a empresa divulgou indicadores de comprometimento e regras que podem ser utilizadas para detectar atividades do malware nas redes internas.
Fonte: Elastic