Nuevo Rootkit posiblemente cuenta con controladores firmados por Realtek

Investigadores de seguridad han identificado un nuevo programa sospechoso que se está copiando a las PCs a través de dispositivos USB de almacenamiento masivo y está firmado digitalmente con el certificado de Realtek Semiconductor, un importante fabricante de productos informáticos con sede en Taiwán.
El programa, conocido como Stuxnet, parece una pieza común de malware con un par de excepciones importantes. Stuxnet utiliza un archivo LNK para lanzarse a sí mismo desde unidades USB infectadas hacia las computadoras. Los archivos LNK son utilizados por los programas de Windows como un acceso directo o referencia a un archivo de origen, y es por esto que se piensa que es la primera instancia de una pieza de malware sospechoso que usa archivo LNK para infectar las máquinas .. En segundo lugar, y aún más preocupante, es el hecho de que los dos controladores asociados con el troyano están firmados digitalmente con el certificado de Realtek.

“Sin embargo, a veces los cibercriminales de alguna manera logran poner en sus manos el propio  código  para firmar certificado o aplicar signaturas. Recientemente, hemos sido testigos de casos regulares de este tipo con los troyanos para teléfonos móviles. Cuando identificamos casos como este, se informa a la correspondiente autoridad de certificación, se revoca el certificado, y así sucesivamente “, dijo Aleks Gostev de Kaspersky Lab en un blog sobre el troyano. “Pero, en el caso de Stuxnet, las cosas se ven muy sospechoso, debido a que el troyano no está firmado con una firma digital al azar, es  la firma de Realtek Semiconductor, uno de los mayores productores de equipos informáticos.

Revocar un certificado de una empresa de este tipo simplemente no es posible, causaría que una enorme cantidad de software liberado quedará inutilizable.”

Cuando se ejecuta, Stuxnet crea dos controladores en el equipo afectado, llamados mrxcls.sys y mrxnet.sys. Los controladores son usados para enmascarar el malware tanto en la unidad USB y la PC infectada. Los dos controladores están firmados con el certificado de Realtek. El programa no parece realizar ninguna actividad maliciosa hasta que está instalado en una nueva máquina, de donde se copia a otros dispositivos USB conectados al equipo.

La comprobación de validez en VeriSign, el emisor del certificado, muestra que efectivamente es legítimo. Uno de los problemas de los archivos de programas maliciosos firmados digitalmente, como actualmente es el caso de Stuxnet, es que ofuscan la confianza implícita otorgada por los programas de seguridad, por lo que se les permita pasar sin problemas. Y en algunos casos la lista blanca del software de seguridad aprueba los archivos firmados digitalmente como algo normal.

to a mediados de junio por una compañía  antimalware en Bielorrusia llamada VirusBlokAda. El certificado para el troyano era válido hasta el 10 de junio y los controladores de Stuxnet se firmaron a finales de enero. Fue casi una semana después de que el certificado expirara que la comunidad antimalware vio por primera vez Stuxnet circulando libremente.

Realtek no respondió a nuestra solicitud de comentarios.
 Fuente