Algunas actividades maliciosas pueden hacerse pasar por software legítimo con la ayuda de las firmas de código de una empresa legítima. Se trata de un método utilizado para robar los certificados de firma de código de una empresa legítima para disfrazar malware como software confiable.
Este tipo de actividades son llevadas a cabo por un grupo de hackers conocido como Lapsus. Este grupo ha sido reconocido por ser los autores de un ataque cibernético a varios sitios web relacionados al Ministerio de Salud de Brasil.
Al robar los certificados de firma de código, los actores de las amenazas pueden utilizarlos para hacer que el malware parezca digno de confianza, haciendo mucho más difícil que los sistemas de seguridad identifiquen la actividad maliciosa.
De igual manera, cuando cibercriminales como Lapsus obtienen el manejo de los códigos fuente que manejan algunas empresas, pueden causar un “caos” en la cadena de suministro de estas organizaciones, derivando en la afectación a una gran cantidad de compañías y dispositivos.
El robo de estos certificados también puede hacer posible que los actores de la amenaza utilicen enlaces codificados para descargar otros archivos maliciosos en las máquinas de las víctimas. Esto significa que el número de máquinas infectadas podría ser considerable, lo que provocaría un daño importante en muchos sistemas.
Un ejemplo claro fue el caso donde Lapsus logró ganar control sobre códigos fuente de empresas mundialmente reconocidas como Nvidia y Samsung, donde los atacantes aprovecharon el control sobre sus certificados y la confianza de los usuarios en estas marcas para desarrollar y propagar software infectado con malware.
Muchas veces este tipo de infecciones están diseñadas para obtener el acceso a las redes corporativas, robando las credenciales de los usuarios para posteriormente tomar control de las máquinas y lanzar un ataque que cause un daño más profundo a la infraestructura organizacional.
Lo que hace más complejo este tipo de ataque es que los sistemas de protección de los dispositivos no lo detectan como una posible amenaza ya que, en teoría provienen de fuentes legítimas. Es por eso que los expertos en seguridad recomiendan el uso de soluciones de seguridad de múltiples capas ya que cuentan con características que permiten analizar estos programas con mayor profundidad, sin importar sin son de origen legal.
Otras medidas que se pueden tomar para evitar este tipo de riesgos y reforzar la seguridad de la infraestructura para gestionar los certificados de firma de código:
- Instalar software solo desde fuentes de confianza, evitando descargas desde sitios de descarga de terceros.
- No instalar software que no sea esencial en dicha infraestructura. Debe ser tratado como un atacante potencial
- La infraestructura de firma de código debe mantenerse actualizada y con parches.
- Cualquier evaluación de riesgos realizada internamente debe incluir la infraestructura de firma de código.
En conclusión, en los últimos tiempos se ha visto como los ataques informáticos se están volviendo cada vez más especializados al punto de robar datos de empresas con alta reputación para poder desarrollar malware que sea capaz de evadir los sistemas de seguridad de las empresas y los usuarios.
Es por eso que las empresas deben adoptar una postura altamente estricta con respecto a la protección de sus datos y, sobre todo, de su infraestructura informática crítica. Como consecuencia de ello, es fundamental que adopten soluciones integrales de seguridad que no actúen solo como un antimalware básico, sino que ofrezca características más completas como escaneo y análisis de comportamiento de los archivos y programas, que permitan buscar posibles amenazas disfrazadas.
