\n<\/aside>\n<\/p>\n
En julio, los investigadores de seguridad revelaron un descubrimiento aleccionador: cientos de piezas de malware utilizadas por m\u00faltiples grupos de piratas inform\u00e1ticos para infectar dispositivos Windows hab\u00edan sido firmadas digitalmente y validadas como seguras por la propia Microsoft. El martes, un grupo diferente de investigadores hizo un anuncio igualmente solemne: las claves digitales de Microsoft hab\u00edan sido secuestradas para firmar a\u00fan m\u00e1s malware para su uso por un actor de amenazas previamente desconocido en un ataque a la cadena de suministro que infect\u00f3 a aproximadamente 100 v\u00edctimas cuidadosamente seleccionadas.<\/p>\n
El malware, informaron investigadores del equipo Threat Hunter de Symantec, fue firmado digitalmente con un certificado para su uso en lo que se conoce alternativamente como el Programa de desarrollo de hardware de Microsoft Windows y el Programa de compatibilidad de hardware de Microsoft Windows. El programa se utiliza para certificar que los controladores de dispositivos (el software que se ejecuta en lo m\u00e1s profundo del kernel de Windows) provienen de una fuente conocida y que se puede confiar en que acceder\u00e1n de forma segura a los rincones m\u00e1s profundos y sensibles del sistema operativo. Sin la certificaci\u00f3n, los controladores no son elegibles para ejecutarse en Windows.<\/p>\n
Secuestro de llaves del reino.<\/h2>\n De alguna manera, los miembros de este equipo de hackers (al que Symantec llama Carderbee) lograron que Microsoft firmara digitalmente un tipo de malware conocido como rootkit. Una vez instalados, los rootkits se convierten esencialmente en una extensi\u00f3n del sistema operativo. Para obtener ese nivel de acceso sin alertar a los sistemas de seguridad de los terminales y otras defensas, los piratas inform\u00e1ticos de Carderbee primero necesitaban que su rootkit recibiera el sello de aprobaci\u00f3n de Microsoft, que obtuvo despu\u00e9s de que Microsoft lo firmara.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nCon el rootkit firmado, Carderbee realiz\u00f3 otra haza\u00f1a audaz. Por medios que a\u00fan no est\u00e1n claros, el grupo atac\u00f3 la infraestructura de Esafenet, un desarrollador de software con sede en China, conocido como Cobra DocGuard Client, para cifrar y descifrar software para que no pueda ser manipulado. Luego, Carderbee utiliz\u00f3 su nuevo control para enviar actualizaciones maliciosas a aproximadamente 2000 organizaciones que son clientes de Cobra DocGuard. Luego, los miembros del grupo de hackers enviaron el rootkit firmado por Microsoft a aproximadamente 100 de esas organizaciones. Los representantes de Esanet y su empresa matriz, NSFOCUS, no respondieron a un correo electr\u00f3nico solicitando verificaci\u00f3n.<\/p>\n
\u00abParece claro que los atacantes detr\u00e1s de esta actividad son actores pacientes y h\u00e1biles\u00bb, escribieron los investigadores de Symantec. \u201cAprovechan tanto un ataque a la cadena de suministro como malware firmado para llevar a cabo su actividad en un intento de pasar desapercibidos. El hecho de que parezcan desplegar s\u00f3lo su carga \u00fatil en un pu\u00f1ado de ordenadores a los que obtienen acceso tambi\u00e9n indica una cierta cantidad de planificaci\u00f3n y reconocimiento por parte de los atacantes detr\u00e1s de esta actividad\u201d.<\/p>\n
Microsoft implement\u00f3 el programa obligatorio con el lanzamiento de Windows 10. Los atacantes hab\u00edan utilizado durante mucho tiempo controladores en actividades posteriores a la explotaci\u00f3n, es decir, despu\u00e9s de piratear un sistema y obtener acceso administrativo. Si bien los atacantes ya pod\u00edan instalar aplicaciones, robar contrase\u00f1as y tomarse otras libertades, ejecutar c\u00f3digo en el kernel les permiti\u00f3 hacer cosas que de otro modo ser\u00edan imposibles. Por ejemplo, podr\u00edan suprimir las advertencias de los sistemas de respuesta y detecci\u00f3n de terminales y otras defensas. A partir de entonces, los controladores que necesitaban acceso al kernel deb\u00edan estar firmados digitalmente.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas En julio, los investigadores de seguridad revelaron un descubrimiento aleccionador: cientos de piezas de malware utilizadas por m\u00faltiples grupos de piratas inform\u00e1ticos para infectar dispositivos Windows hab\u00edan sido…<\/p>\n","protected":false},"author":1,"featured_media":786684,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1328,2690,18968,13744,28865,2234,246,8,683,107,18739,1570,1356],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/786683"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=786683"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/786683\/revisions"}],"predecessor-version":[{"id":786685,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/786683\/revisions\/786685"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/786684"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=786683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=786683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=786683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}