Malware usa certificados legítimos para lançar ataques cibernéticos

Malware usa certificados legítimos para lançar ataques cibernéticos

Por Felipe Demartini | Editado por Claudio Yuge | 27 de Dezembro de 2021 às 15h42

O uso de certificados digitais válidos virou a principal arma de uma nova campanha maliciosa, focada em comprometer sistemas Windows para o lançamento de novos ataques cibernéticos. Chamada de Blister, a ameaça teria uma taxa de detecção baixa por softwares de segurança devido ao uso de diferentes táticas de ofuscação em golpes que acontecem, pelo menos, desde setembro deste ano.

A principal delas, conforme o alerta feito pelos especialistas da Elastic, é o uso de um certificado válido e atualizado, fornecido pela Sectigo em nome de uma empresa chamada Blist LLC. A praga pode aparecer incorporada a bibliotecas legítimas de desenvolvimento, softwares ou atualizações de serviço. Em qualquer dos casos, o uso do documento digital permite que a ameaça seja executada com privilégios de administrador e até anuência do usuário, que confia naquela assinatura como legítima.

Uma vez executado, o Blister permanece dormente pelos minutos iniciais, como forma de evitar monitoramentos e análises durante a instalação das soluções. Na sequência, entra em ação com malwares de acesso remoto capazes de levar a ataques de ransomware, roubo de dados, mineração de criptomoedas e movimentos laterais. Ele já foi usado em golpes envolvendo pragas conhecidas como Cobalt Strike e BitRAT.

Certificado legítimo é usado pelo Blister como forma de evadir sistemas de segurança, junto com outros métodos de ofuscação no Windows (Imagem: Reprodução/Elastic)

Mesmo depois de lançar ofensivas adicionais, o Blister é capaz de permanecer no sistema operacional, se disfarçar como um executável legítimo e se incorporar à lista de apps que são inicializados junto com o sistema operacional. Assim, ele permanece à disposição dos atacantes para novos golpes, principalmente enquanto as principais plataformas de segurança ainda são incapazes de detectar sua existência.

Combinação de táticas

Os especialistas da Elastic apontam para o uso de certificados legítimos como uma nova alternativa para os criminosos. Até então, eram múltiplas as detecções relacionadas a assinaturas roubadas; agora, porém, empresas cujos sistemas foram comprometidos são usadas para a realização de pedidos que também têm a aparência de autênticos para as fornecedoras desse tipo de garantia, ampliando o poder de alcance destes golpes.

Segundo a Elastic, a Sectigo já foi notificada para que o certificado usado pelo Blister seja revogado. Enquanto os vetores iniciais de entrada não foram identificados pelos especialistas, a empresa divulgou indicadores de comprometimento e regras que podem ser utilizadas para detectar atividades do malware nas redes internas.

Fonte: Elastic

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.