Certificado de plataforma VPN usado para distribuir malware

A empresa de segurança SentinelLabs encontra-se a alertar para uma nova forma de malware, que nos últimos dias tem vindo a surgir em peso. Os atacantes encontram-se a usar o certificado de uma empresa de VPN legitima para mascararem o malware como sendo da mesma.

Os investigadores afirmam que os atacantes encontram-se a usar o certificado da empresa Ivacy para mascararem malware, e tentarem dar mais credibilidade aos ficheiros que são partilhados com o conteúdo malicioso. Acredita-se que o malware tenha sido criado pelo grupo Bronze Starlight, o qual possui ligações com as autoridades chinesas e é focado em atacar empresas a nível global.

O malware que se encontra a ser distribuído parte de dois executáveis, que foram assinados pelo certificado da Ivacy VPN, uma empresa legitima de fornecimento de VPNs. Ao usarem um certificado legítimo, os atacantes pretendem evitar algumas análises mais exaustivas em ambientes empresariais, que podem validar se o certificado do ficheiro é válido ou não.

Isto permite contornar algumas das proteções, e permitir que o ataque seja realizado com maior sucesso.

Curiosamente, os investigadores afirmam que o malware descoberto foi configurado para não ser executado em sistemas que se encontram em certos países, como os EUA, Alemanha, França, Rússia e Índia. Isto indica que a campanha de malware pode ser focada apenas a alguns países ou alvos específicos.

De notar que ainda se desconhece como os atacantes conseguiram obter o certificado da Ivacy VPN. Normalmente este género de certificados exige que se tenha conhecimento da chave privada, que apenas a entidade possui, portanto isso pode indicar que esta chave da Ivacy VPN pode ter sido comprometida.

A empresa não deixou qualquer comunicado sobre a situação até ao momento.