El malware firmado con certificados legítimos se ha disparado desde el 2010, cuando apenas suponía el 1,3% de los virus detectados, de acuerdo con McAfee. Esto casi se duplicó en el 2011, hasta alcanzar el 2,9%, y se triplicó hasta el 6%, en el 2012. Aunque la tasa es ligeramente más baja, en lo que va de este año la cantidad total de este tipo de ataques sigue creciendo, ya que el número de nuevo malware se duplica, más o menos, cada año.
En su intervención, en la conferencia anual de usuarios de la compañía en Las Vegas la semana pasada, David Marcus, director de investigación avanzada e inteligencia de amenazas en McAfee Labs, también ha señalado la existencia de malware firmado legítimamente en plataformas Android, algo casi inexistente en el 2010, que ya suponía el 7% de todo el malware para Android en el 2012 y, en la actualidad, asciende al 24%.
“Los certificados por ahora no son piratas, no son falsos o robados pero se abusa de ellos”, concreta Marcus. Esto significa que el atacante ha utilizado un certificado legítimo de una empresa típica asociada a una entidad emisora de certificados, como Comodo, Thawte o VeriSign. El atacante utiliza este certificado legítimo para firmar código de malware, con el fin de engañar a las defensas de seguridad, del tipo listas blancas o sandbox”, señaló.
McAfee reconoce casos en los que se han firmado varios cientos de muestras de malware con el mismo certificado, mientras que en otros no se ha observado ningún uso malicioso del certificado. Todo esto plantea la cuestión de si debe haber un “servicio de reputación” de los certificados, para que las empresas puedan protegerse contra el malware firmado con certificados legítimos.
Certificados vulnerados, apoyo de otros ataques
Este experto estuvo acompañado en su presentación por James Wolfe, jefe de ingenieros de seguridad de información en Lockheed Martin, quien dijo que la cuestión de los certificados vulnerados que se utilizan para autenticar malware está recibiendo más atención desde principios de este año, cuando se conoció públicamente una serie de ataques dirigidos, aunque la técnica no es del todo nueva. Wolfe considera que el malware firmado con certificados legítimos puede observarse como una especie de “amenaza persistente avanzada” para la seguridad en las organizaciones.
McAfee solo ha recopilado y analizado los datos de los últimos meses, y no los ha contrastado con las autoridades de certificación o con Symantec, y está estudiando la forma de identificar de forma efectiva los certificados vulnerados, para bloquear malware. “Esta información nos daría la capacidad de tomar una decisión”, concluyó Marcus.
Ellen Messmer, NetworkWorld (EE.UU.)