¿Malware legítimo?
Recientemente se ha observado una técnica de ataque que consiste en firmar artefactos maliciosos utilizando certificados válidos, permitiendo así su instalación. Esto se puede derivar de posibles exfiltraciones de código fuente que grupos de cibercriminales logran obtener durante los ataques a víctimas, principalmente asociadas al sector tecnológico.
En muchas ocasiones, resulta impredecible el impacto que puede tener la exfiltración de datos sensibles de una víctima. Esto dependerá de qué tan hábiles sean los cibercriminales para producir un daño mayor.
Para el caso del robo de información referente a código fuente, el impacto puede ser crítico debido a que suele ser utilizado en ataques de cadena de suministro, llegando a tener un impacto en masa. Esto en función de qué tan popular sea el sistema y de cuántos miles o millones de usuarios lo utilicen, tanto en organizaciones como usuarios finales.
Sabemos que un certificado digital de una empresa reconocida brinda un alto nivel de confianza a los usuarios, al grado de que a veces los usuarios omiten cualquier validación o lectura de las políticas de uso, aceptando indiscriminadamente todo lo que el instalador les solicita. Esta condición ha sido claramente identificada por grupos cibercriminales, y con base en los recursos referentes a código legítimo con los que cuenten, serán capaces de hacer la integración de un malware firmado por una empresa de alta confianza. Por ejemplo, si un usuario constantemente actualiza los controladores de su tarjeta gráfica con la finalidad de aprovechar las mejoras que los desarrolladores integran al desempeño del producto, este usuario podría considerarse una víctima viable para un ataque de esta índole.
Básicamente si los atacantes logran robar algún certificado para la firma de código de una empresa de confianza, tendrán la capacidad de evadir los controles de verificación de los sistemas base, lo que les permitirá ejecutar diversas funciones, desde extraer las contraseñas de los usuarios y enviarlas a un sitio C2, hasta tomar el control total del equipo de la víctima.
Este escenario aparentemente no nos brinda un pronóstico favorable. Sin embargo, las tecnologías de detección basadas en comportamiento como son los sistemas EDR, o los métodos de machine learning integrados como módulos en algunas herramientas de antivirus tradicionales, pueden ayudar a prevenir este tipo de ataques. Aun viniendo de software de confianza, estas herramientas serán capaces de detectar anomalías o tráfico de red no esperado, entre otras condiciones, que detone el malware durante su ejecución.
Finalmente, las herramientas tecnológicas nos brindan una capa de protección automatizada para reaccionar durante la ejecución de este tipo de ataques. Sin embargo, la tarea de prevención debe de ejecutarse desde una adecuada gestión del software, en donde deben intervenir tareas básicas como la de descargar las actualizaciones o aplicaciones de sitios oficiales, evitar instalar software no esencial para la operación de los sistemas y validaciones manuales de los instaladores, en donde se verifique la integridad con los hashes publicados por los fabricantes. Con estas medidas es posible reducir la probabilidad sobre la efectividad de estos ataques, sin embargo, la tarea más importante de prevención continúa siendo que las organizaciones sigan capacitando y concientizando a su personal constantemente sobre la adecuada y segura gestión de sus herramientas tecnológicas de trabajo.
Referencias
• https://blog.segu-info.com.ar/2022/03/el-grupo-lapsus-roba-datos-de-nvidia-y.html
• https://www.welivesecurity.com/la-es/2022/03/07/grupo-lapsus-filtra-codigo-fuente-samsung-luego-de-filtrar-1tb-de-datos-de-nvidia/
• https://www.europapress.es/portaltic/ciberseguridad/noticia-grupo-hackers-lapsus-roba-credenciales-firmas-codigo-nvidia-descargar-malware-20220308124000.html
• https://www.databreachtoday.com/how-lapsus-uses-stolen-source-code-to-disguise-malware-a-18684