Un certificado de firma de código es un certificado digital que permite a los desarrolladores de software firmar sus aplicaciones.
Esto garantiza tanto la “autenticidad del editor” como la “integridad del código”. Los investigadores de HarfangLab descubrieron recientemente que los actores de amenazas están abusando activamente de certificados de firma de código genuinos para evadir la detección.
Los investigadores de ciberseguridad identificaron recientemente una importante amenaza cibernética relacionada con el malware “Lumma Stealer” en octubre de 2024.
Esta ciberamenaza que involucra a ‘Lumma Stealer’ se distribuye a través del cargador malicioso ‘HijackLoader’.
Página web CAPTCHA falsa (Fuente – HarfangLab)
La campaña, conocida como ataque “CAPTCHA falso”, atrae a las víctimas a un sitio web malicioso donde, sin saberlo, ejecutan “comandos PowerShell” dañinos.
Los piratas informáticos hacen mal uso de certificados de firma de código genuinos
Estos comandos normalmente “descargan” y “ejecutan” un “archivo ZIP” que contiene un “paquete de descarga de archivos DLL”, que luego ejecuta “HijackLoader”.
Cadena de infección (Fuente – HarfangLab)
Se produjo un acontecimiento notable el 2 de octubre de 2024, cuando se detectó una muestra de “Signed HijackLoader”.
Se ha detectado que se están utilizando “certificados legítimos de firma de código” para eludir las medidas de seguridad.
Este ejemplo viene con “SHA-256 hash 1839b7152814b16b9f28326081f16bf9c5bbbb380005232c92d25c9a3e36e337” comunicado con el servidor C&C de “me3ar40.quickworld(.)shop”.
El uso de malware firmado redujo significativamente las tasas de detección por parte de los productos de seguridad, como lo demuestra otra muestra que se hace pasar por el navegador Firefox (SHA-256: f158c65261bcab6e93927a219d12f596a4e40857bbd379f9889710ea17251e5e).
Descarga lateral de HijackLoader y DLL (Fuente: HarfangLab)
La evolución de esta táctica desde la “carga de DLL” hasta los binarios firmados representa un intento sofisticado de evadir las medidas de seguridad tradicionales y los “certificados de firma de código comprometidos” utilizados en la “distribución de malware”. Se requiere más investigación.
Los investigadores de ciberseguridad iniciaron una investigación basada en la detección de HarfangLab EDR y descubrieron múltiples “certificados de firma de código explotados” utilizados para firmar malware.
Adoptaron dos técnicas principales: –
Nos alejamos de los nombres de host C2 “HijackLoader” conocidos, como “quickworld(.)shop”, identificando primero los ejecutables firmados que acceden a estas URL. Esto llevó al descubrimiento de dos certificados explotados. Luego analizó los “metadatos binarios” (“copyright”, “nombre original”, “descripción”) de las muestras maliciosas, permitiendo que algunas se hicieran pasar por software legítimo como “Wise Folder Hider”. Presté atención a eso.
Desarrollan fuertes coincidencias para señalar archivos binarios sospechosos como “software genuino sin firmar y un imitador firmado” o “software genuino firmado y un imitador de firma diferente”.
Malware firmado que utiliza el mismo dominio C2 (Fuente: HarfangLab)
Este proceso reveló tres certificados comprometidos adicionales. Los investigadores repitieron estas técnicas para ayudar a confirmar muestras maliciosas y extraer nuevos dominios C2 para su posterior análisis.
Informaron del abuso del certificado a la autoridad emisora, lo que provocó su cancelación en cuestión de horas o un día.
Señalaron que el proceso de obtención de certificados de firma de código está en gran medida automatizado, aunque no pueden determinar definitivamente si los certificados fueron “robados” o “creados intencionalmente”.
Un análisis completo destaca que la firma de código por sí sola no es suficiente para determinar la confiabilidad del software.
Esto apunta a la necesidad de “estrategias de detección de múltiples capas”, como el “monitoreo del comportamiento” y el “escaneo en memoria de puntos finales”.
