La firma de código es un método de utilizar una firma digital basada en certificados para una pieza de software para que el sistema operativo y los usuarios puedan determinar su seguridad. Sólo el software correcto puede utilizar su correspondiente firma digital.
Los usuarios pueden descargar e instalar software de forma segura y los desarrolladores protegen la reputación de sus productos con la firma de código. Sin embargo, los piratas informáticos y los distribuidores de malware utilizan exactamente ese sistema para obtener códigos maliciosos a través de suites antivirus y otros programas de seguridad . Entonces, ¿qué es el malware firmado con código y cómo funciona?
¿Qué es el malware firmado con código?
Cuando el software está firmado digitalmente, significa que tiene una firma digital oficial. La autoridad certificadora emite un certificado para un software para determinar que el software es legal y seguro de usar.
Los usuarios no tendrán que preocuparse porque el sistema operativo comprobará el certificado y verificará esa firma digital. Por ejemplo, Windows utiliza una cadena de certificados que contiene todos los certificados necesarios para garantizar que el software sea legítimo.
La cadena de certificados contiene todos los certificados necesarios para certificar la entidad identificada por el certificado final. De hecho, consta de un certificado de terminal, un certificado de CA intermedio y un certificado de CA raíz en el que confían todas las partes de la cadena. Cada certificado de CA intermedia de la cadena contiene un certificado emitido por la CA de un nivel superior. La CA raíz emite certificados para sí misma.
Una vez que el sistema esté en funcionamiento, podrá confiar en el software, el sistema de firma de código y la CA. El malware es software malicioso, no es de confianza y no tiene acceso a la autoridad de certificación ni a la firma de código.
Los piratas informáticos roban certificados de la autoridad certificadora
El software antivirus sabe que el malware es malicioso porque afecta negativamente a su sistema. Activa advertencias, los usuarios informan problemas y el software antivirus puede crear firmas de malware para proteger otras computadoras que utilizan el mismo motor antivirus.
Sin embargo, si los creadores de malware pudieran firmar malware utilizando firmas digitales oficiales, el proceso anterior no ocurriría. En cambio, el malware codificado puede ingresar al sistema a través de la ruta oficial porque su software antivirus y su sistema operativo no detectan nada peligroso.
Según una investigación de Trend Micro, todo el mercado de malware se centra en respaldar el desarrollo y la distribución de malware firmado con código. Los operadores de malware tienen acceso a certificados válidos utilizados para firmar códigos maliciosos. La siguiente tabla muestra la cantidad de malware que utiliza la firma de código para evadir el software antivirus desde abril de 2018.
La investigación de Trend Micro también muestra que alrededor del 66% del malware tiene firmas digitales. Además, existen algunos tipos específicos de malware que tienen múltiples versiones de firmas digitales, como troyanos , droppers y ransomware .
¿De dónde viene el certificado digital de firma de código?
Los distribuidores y desarrolladores de malware tienen dos formas de crear malware firmado con código. Roban certificados de la Autoridad de Certificación directamente o adquiriendo o haciéndose pasar por una organización legítima y solicitando un certificado de la CA.
Como puede ver, CA no es el único lugar al que se dirigen los piratas informáticos. Los distribuidores con acceso a certificados legítimos pueden vender certificados firmados digitalmente de confianza a desarrolladores y distribuidores de malware.
Un equipo de investigación de seguridad de la Universidad Masaryk en la República Checa y el Centro de Ciberseguridad de Maryland descubrió cuatro organizaciones que vendían certificados Microsoft Authenticode a compradores anónimos. Una vez que un desarrollador de malware tiene un certificado Microsoft Authenticode, puede firmar cualquier posible malware mediante la firma de código y la protección basada en certificados.
En otros casos, en lugar de robar certificados, los piratas informáticos se infiltrarán en el servidor de compilación del software. Cuando se lanza una nueva versión de software, tendrá un certificado legítimo, los piratas informáticos aprovechan este proceso para agregar código malicioso.
Ejemplo de malware firmado con código
Entonces, ¿cómo es el malware firmado con código? A continuación se muestran tres ejemplos de este tipo de malware.
¿Cómo evitar el malware firmado con código?
Este tipo de malware utiliza la firma de código para evitar la detección por parte de software y sistemas antivirus, por lo que protegerse contra el malware firmado por código es extremadamente difícil. Actualizar siempre el software y los sistemas antivirus es esencial, evite hacer clic en enlaces desconocidos y verifique cuidadosamente de dónde proviene el enlace antes de seguirlo. Consulte el artículo Riesgos del malware y cómo evitarlo .
One UI reemplaza a Samsung Experience como la interfaz personalizada de Samsung para Android. Está simplificado, ordenado y diseñado para mostrar solo información esencial, lo que reduce las distracciones.
El decibel (dB) es una unidad de medida estándar que se utiliza para medir la intensidad de las señales de redes cableadas e inalámbricas.
Las redes privadas virtuales son asequibles, fáciles de usar y son un componente importante de las configuraciones de computadoras y teléfonos inteligentes. Junto con su firewall y su solución antivirus/antimalware, debe instalar una VPN para que cada momento que pase en línea sea completamente privado.
Telnet es un protocolo de línea de comandos que se utiliza para administrar varios dispositivos, como servidores, PC, enrutadores, conmutadores, cámaras y firewalls de forma remota.
Cuando alguien habla de la preservación de datos confidenciales, probablemente escuchará el término "corrupción de datos". Entonces, ¿qué es la “corrupción de datos” y cómo puedes reparar tus archivos si algo sale mal?
Catalyst Control Center es una utilidad que viene con el controlador y que ayuda al funcionamiento de las tarjetas de video AMD. Aparece como CCC.exe en el Administrador de tareas del usuario y, en la mayoría de los casos, nunca tendrás que preocuparte por esto.
La firma de código es un método de utilizar una firma digital basada en certificados para una pieza de software para que el sistema operativo y los usuarios puedan determinar su seguridad. ¿Qué es el malware firmado con código y cómo funciona?
A medida que evoluciona la tecnología que nos rodea, también es necesario llevar los firewalls a la nube para mantenerse al día con la tendencia. Por eso nació el término firewall en la nube.
En 2017, los investigadores de seguridad detectaron alrededor de 23.000 muestras de malware cada día, lo que equivale a aproximadamente 795 piezas de malware producidas cada hora. Recientemente, surgió un nuevo malware muy sofisticado llamado Mylobot.
NTFS, FAT32, exFAT son sistemas de archivos en Windows, pero específicamente ¿qué es NTFS, qué es FAT32, qué es exFAT, cuáles son sus similitudes y diferencias? Invitamos a los lectores a consultar este artículo.
