Campaña de malvertising utiliza un certificado gratuito de Let?s Encrypt

Share this…

Los cibercriminales están aprovechando una organización que emite certificados digitales gratuitos, lo que desató un desacuerdo sobre cómo hacer frente a estos abusos.

El miércoles, Trend Micro escribióque descubrió un ciberataque el 21 de diciembre el cual fue diseñado para instalar malware bancario en las computadoras.

Los ciberdelincuentes habían comprometido un sitio web legítimo y configurado un subdominio que conducía a un servidor bajo su control, escribió Joseph Chen, un investigador de fraudes de Trend Micro.

Si un usuario visitaba el sitio, el subdominio mostraba un anuncio malintencionado que redirigía al usuario a un sitio donde se aloja el kit de exploits Angler, que busca vulnerabilidades de software para instalar malware.

Campaña de malvertising utiliza un certificado gratuito de Let?s Encrypt

El subdominio utilizó un certificado SSL/TLS que cifra el tráfico entre el servidor y el equipo de un usuario.

El certificado fue emitido por Let’s Encrypt, un proyecto ejecutado por la ISRG (Grupo de Investigación de Seguridad de Internet) y está respaldado por Mozilla, Electronic Frontier Foundation, Cisco y Akamai, entre otros.

Let’s Encrypt es el primer proyecto a gran escala en emitir certificados digitales gratuitos, es parte de un movimiento para mejorar la seguridad a través de Internet.

Chen escribió que Trend Micro había anticipado que los ciberdelincuentes tratarían de obtener certificados libres de Let’s Encrypt para sus propios fines maliciosos. En este caso, el tráfico cifrado hacia el servidor malicioso enmascara mejor las actividades los ciberdelincuentes.

Es posible revocar certificados digitales. Sin embargo, Let’s Encrypt ha decidido aplicar la política de no revocar certificados. En octubre, la organización explicó que las autoridades de certificación (AC) no están preparadas para aplicar políticas de contenido.

Sin embargo, Let’s Encrypt realiza consultas usando el API de Google Safe Browsing para ver si un dominio para el que se solicite un certificado se ha marcado como phishing o malware.

Chen no está de acuerdo con este enfoque, escribió: “Las AC deben estar dispuestas a cancelar los certificados, emitidos a grupos ilícitos, de los que se ha abusado ??a favor de varios tipos de amenazas.”

Josh Aas, director ejecutivo de ISRG, escribió por correo electrónico que, aunque el certificado en cuestión podría ser utilizado de nuevo, es poco probable que los cibercriminales puedan llegar muy lejos porque los dominios son conocidos como sitios de publicidad maliciosa.

Sin embargo, los atacantes aún podrían generar nuevos certificados para diferentes dominios y esas acciones serían difíciles de detener para cualquier AC, escribió. “Las AC no pueden detectar y responder lo suficientemente rápido”.

En un enfoque alternativo, los proveedores de publicidad en línea podrían implementar controles internos para detener los anuncios maliciosos, escribió Aas.

La industria de la publicidad en línea ha reconocido los problemas con los anuncios maliciosos, pero los criminales cibernéticos utilizan una variedad de técnicas para ocultarlos.

Fuente:https://www.seguridad.unam.mx/