El robo de certificados digitales y la gravedad en que los ciberdelincuentes los utilizan para firmar malware. Un ejemplo de esta
práctica es el troyano Spymel, detectado hace unos días y que afecta a equipos
Windows.
Los expertos en seguridad de la empresa Zscaler han sido los encargados de dar la voz de alarma y alertar sobre la presencia de esta amenaza que en principio se está distribuyendo haciendo uso de correos electrónicos spam y páginas web que han sido hackeadas, utilizando estas para redirigir la navegación de los usuarios al contenido malware.
Los propietarios de la amenaza han pensado en todo y en primer lugar
lo que el usuario descarga no es nada más y nada menos que un archivo
JavaScript que se encarga de verificar el grado de seguridad que existe en el
equipo para posteriormente llevar a cabo la descarga del archivo .NET que en
esta ocasión sí es el instalador de la amenaza.
Teniendo en cuenta que las herramientas de seguridad y sistemas operativos se basan en listas negras de certificados y bloquean la instalación de aquellos que no están firmados, los ciberdelincuentes se han valido de algunos que han sido sustraídos para firmar el troyano y así pasar desapercibido.
Los expertos de Zscaler creen que aunque ahora es cuando más se está
haciendo notar, las primeras infecciones aparecieron el pasado mes de diciembre
y no llegaron a una docena.
Spymel posee un servidor de control y puede funcionar como puente para
la llegada de más programas no deseados
Los expertos han detallado que el malware posee un módulo que impide que el usuario sea capaz de matar el proceso que se encuentra en segundo plano en el sistema y que evita que se lleve a cabo la desinstalación del mismo. Incluso están barajando la hipótesis de que la amenaza copia parte de su código en otros procesos legítimos y así iniciarse de nuevo sin que el usuario sea capaz de encontrar el motivo.
A todo esto hay que añadir que posee un servidor de control alojado en
la dirección 213.136.92.111 y el puerto TCP 1216. Por lo tanto, si no sabéis si
estáis afectados y en vuestro firewall veis esta conexión activa lo mejor es
proceder a su bloqueo.
El contacto con el servidor no solo sirve para actualizar y recibir nuevas funcionalidades, sino que han detectado que el troyano es capaz de servir como puente para la llegada de más aplicaciones no deseadas por el usuario, por lo que es probable que si estamos infectados no solo sea este el problema y sea necesario hacer frente a adware, ransomware o incluso otros troyanos.
