Investigadores de la Universidad Masaryk de la República Checa y del Centro de Ciberseguridad de Maryland (MCC, por sus siglas en inglés) monitorearon organizaciones sospechosas e identificaron a cuatro que vendían certificados Microsoft Authenticode a compradores anónimos. El mismo equipo de investigación también recopiló un montón de malware dirigido a Windows con firmas digitales válidas.
«Las mediciones recientes del ecosistema de certificados de firma de código de Windows han puesto de manifiesto diversas formas de abuso que permiten a los autores de malware producir código malicioso con firmas digitales válidas», indicaron los investigadores. Además, se han descubierto varios casos de programas potencialmente no deseados (PUP), revelando que junto con su capacidad para firmar código malicioso, los malos actores también son capaces de controlar una serie de certificados Authenticode.
Según Gabriel Gumbs, vicepresidente de estrategia de productos de STEALTHbits Technologies, “obtener este tipo de acceso no autorizado ha sido tradicionalmente fácil para los atacantes que utilizan descargas desde dispositivos portátiles y phishing”. Y añadió: “aunque la seguridad de los endpoints ha logrado algunos aumentos de eficacia en los últimos cinco años gracias a la evolución de las plataformas de protección de los endpoints, sólo hemos tratado el síntoma, y no la causa, del acceso permisivo».