Malware usa certificados legítimos para lançar ataques cibernéticos

O uso de certificados digitais válidos virou a principal arma de uma nova campanha maliciosa, focada em comprometer sistemas Windows para o lançamento de novos ataques cibernéticos. Chamada de Blister, a ameaça teria uma taxa de detecção baixa por softwares de segurança devido ao uso de diferentes táticas de ofuscação em golpes que acontecem, pelo menos, desde setembro deste ano.

• Saúde foi setor mais afetado por tentativas de ciberataques em 2021
• Ransomware dirigido a empresas cresce cerca de 150% no Brasil em 2021

A principal delas, conforme o alerta feito pelos especialistas da Elastic, é o uso de um certificado válido e atualizado, fornecido pela Sectigo em nome de uma empresa chamada Blist LLC. A praga pode aparecer incorporada a bibliotecas legítimas de desenvolvimento, softwares ou atualizações de serviço. Em qualquer dos casos, o uso do documento digital permite que a ameaça seja executada com privilégios de administrador e até anuência do usuário, que confia naquela assinatura como legítima.

Uma vez executado, o Blister permanece dormente pelos minutos iniciais, como forma de evitar monitoramentos e análises durante a instalação das soluções. Na sequência, entra em ação com malwares de acesso remoto capazes de levar a ataques de ransomware, roubo de dados, mineração de criptomoedas e movimentos laterais. Ele já foi usado em golpes envolvendo pragas conhecidas como Cobalt Strike e BitRAT.

Mesmo depois de lançar ofensivas adicionais, o Blister é capaz de permanecer no sistema operacional, se disfarçar como um executável legítimo e se incorporar à lista de apps que são inicializados junto com o sistema operacional. Assim, ele permanece à disposição dos atacantes para novos golpes, principalmente enquanto as principais plataformas de segurança ainda são incapazes de detectar sua existência.

Combinação de táticas

Os especialistas da Elastic apontam para o uso de certificados legítimos como uma nova alternativa para os criminosos. Até então, eram múltiplas as detecções relacionadas a assinaturas roubadas; agora, porém, empresas cujos sistemas foram comprometidos são usadas para a realização de pedidos que também têm a aparência de autênticos para as fornecedoras desse tipo de garantia, ampliando o poder de alcance destes golpes.

Segundo a Elastic, a Sectigo já foi notificada para que o certificado usado pelo Blister seja revogado. Enquanto os vetores iniciais de entrada não foram identificados pelos especialistas, a empresa divulgou indicadores de comprometimento e regras que podem ser utilizadas para detectar atividades do malware nas redes internas.

Fonte: Elastic