L’azienda D-Link ha di recente denunciato il furto di alcuni certificati digitali da parte di un cyberspionaggio focalizzato su Taiwan (presumibilmente BlackTech, secondo Trend Micro).

Forse non tutti sanno che per essere sicuri che su di un computer si installa del software proveniente effettivamente dall’azienda pubblicizzata si utilizzano dei certificati digitali che il sistema operativo riconosce e confronta. Capite bene che entrare in possesso di certificati digitali di un’azienda autorevole come D-Link significa poter proporre sul web software contraffatto o potenzialmente dannoso “spacciandosi” per D-Link.

La scoperta è stata possibile grazie a un’analisi mediante ESET NOD32 antivirus, in cui due software rivelatosi malware portavano con se la firma digitale di D-Link.

D-Link certificati digitali rubati

Il primo, il malware Plead, è una backdoor controllata a distanza. Il secondo, invece, è un password stealer che raccoglie le password salvate da Google Chrome, Internet Explorer, Outlook e Mozilla Firefox.

Questi software malevoli venivano firmati con certificati validi allo scopo di renderli invisibili agli antivirus. Insomma, sono stati utilizzati dagli hacker per farli apparire come applicazioni legittime. Di solito questi certificati digitali vengono utilizzati per configurare le telecamere IP D-link con il browser, tramite l’account mydlink.

Nonostante la scoperta, fino a quando sui vari computer non verrà aggiornato il software antivirus per rinnovargli il registro e indicargli che quei certificati non sono più validi, la minaccia di questi due malware apparentemente provenienti da D-Link sarà sempre viva.

Non a caso, D-Link, nel comunicato ufficiale consiglia di attivare l’opzione del browser che rileva e ignora i certificati revocati.