F-Secure scopre un malware firmato

La nota azienda di sicurezza F-Secure ha scoperto un trojan che sfrutta una vulnerabilità di Adobe Reader 8. Sembra dunque un malware come tutti gli altri, ma in realtà si tratta di una rarità, in quanto utilizza un certificato digitale rubato al governo della Malaysia. Ancora una volta, quindi, nell’occhio del ciclone entrano i certificati, mettendo così in serio dubbio l’utilità degli stessi nel ruolo preposto.

Il trojan W32/Agent.DTIW, che si diffonde tramite un file PDF infetto, risulta firmato con un certificato emesso dall’Agricultural Research and Development Institute of Malaysia. Anche se il certificato è scaduto a settembre, il malware continua a funzionare e, una volta installato nel sistema operativo, effettua il download di altri componenti dal server worldnewsmagazines.org. Anche alcuni di questi componenti sono firmati, ma in questo caso l’ente certificatore risiede a Taiwan.

Mikko Hypponen di F-Secure ha dichiarato che non è molto comune trovare una copia firmata di un malware, ma è ancora più raro che sia firmato con una chiave ufficiale appartenenti ad un governo. Il furto di certificati digitali è aumentato negli ultimi tempi: gli hacker possono ingannare più facilmente le persone che credono di essere su un sito affidabile oppure considerano sicuro un messaggio di posta elettronica firmato digitalmente. La stessa tecnica è stata utilizzata per diffondere i malware Stuxnet e Duqu.

Le autorità di certificazione sono dunque diventate il bersaglio preferito dagli hacker. L’olandese DigiNotar ha dichiarato bancarotta dopo che il suo sistema è stato violato e un hacker è riuscito a generare falsi certificati. Un’altra autorità olandese ha invece sospeso l’emissione di certificati dopo aver scoperto un tool DDoS su uno dei suoi server web.