Un informe de HP Wolf Security ha identificado una campaña ChromeLoader a gran escala que utiliza certificados válidos de “firma de código” para eludir las políticas de seguridad de Windows.
El informe señala que los atacantes que aprovechan el exploit ChromeLoader también pueden crear empresas falsas para verificar los certificados de sitios web de lectores de PDF falsos. Los atacantes hacen que su malware sea aún más difícil de detectar al firmar los archivos de instalación con certificados de firma de código válidos.
Aquí, las víctimas potenciales son atacadas mediante la entrega de malware dentro de instaladores de software falsos asociados con palabras clave populares de motores de búsqueda, como herramientas de conversión de PDF, lectores de manuales de electrónica de consumo y otros tipos de guías a las que puede dirigirse de forma más amplia.
Estas campañas también utilizan “publicidad maliciosa” para dirigir a las víctimas a sitios web bien diseñados que ofrecen herramientas aparentemente legítimas, como lectores y conversores de PDF.
Visitar un sitio infectado permite al atacante secuestrar el navegador de la víctima y redirigir las búsquedas a sitios controlados por el atacante. Con un certificado firmado con código, la instalación no será bloqueada por las políticas de seguridad de AppLocker y no mostrará ninguna advertencia al usuario.
El informe de HP sugiere que el certificado de firma de código fue robado de una empresa legítima o que un actor de amenazas configuró el certificado utilizando una herramienta de inteligencia artificial generada con el único propósito de obtener un certificado de firma de código válido. Se teoriza que sí. .
“Basándonos en la estructura de los scripts, los comentarios consistentes para cada función y la selección de nombres y variables de funciones, creemos que los atacantes probablemente usaron IA gen para desarrollar estos scripts”, informa HP Wolf. “Esta actividad muestra cómo Gen AI está acelerando los ataques y reduciendo los obstáculos para que los ciberdelincuentes infecten los puntos finales”.
ChromeLoader destaca la creciente amenaza de la 'firma de código'
Si un certificado está comprometido, le dice a la máquina que el software es seguro, por lo que puede instalarlo y ejecutarlo sin previo aviso. En circunstancias normales, las máquinas bloquearán la instalación si se detecta software malicioso, pero un certificado válido se considerará seguro incluso si contiene código malicioso.
Según Kevin Bocek, director de innovación de Venafi, la explotación de este código es alarmante dadas las nuevas técnicas de ataque de la IA.
“Los certificados de firma de código son identidades de máquina muy sólidas y existe una creciente preocupación de que puedan ser explotados por atacantes”, dijo Bocek.
“Si estos son robados u obtenidos ilegalmente, los atacantes pueden usarlos para distribuir malware con nombres confiables, lo que dificultará frustrar ataques como la campaña ChromeLoader identificada por HP. Será especialmente difícil”.
La firma de código se ha utilizado en varios incidentes de alto perfil, incluida la violación del certificado de Nvidia de 2022 y la violación de SolarWinds, donde se instaló malware con firma de código en millones de máquinas y causó estragos a nivel mundial.
Esto último se discutió en detalle en el podcast ITPro.
Los piratas informáticos apuntan a las identidades de las máquinas para autenticar y autorizar que el código, los contenedores y las aplicaciones se conecten y ejecuten. A medida que las tecnologías nativas de la nube crezcan y más desarrolladores utilicen herramientas como asistentes de codificación de IA, la necesidad de proteger las identidades de las máquinas, como los certificados de firma de código, se volverá más urgente, afirma Bocek.
Sugiere que los profesionales busquen un plano de control para la identidad de las máquinas que unifique la protección en toda la empresa, desde la firma de códigos hasta los certificados Transport Layer Security (TLS).
“Ignorar este consejo deja a las empresas en riesgo”, añadió Bozek.
https://www.itpro.com/security/cyber-attacks/hackers-are-using-a-chromeloader-exploit-to-set-up-fake-companies-and-malware-ridden-websites
