Avatar di Lorenzo Renzetti

a cura di Lorenzo Renzetti

D-link, nota società operante in ambito networking, è stata vittima di un furto d'identità digitale. Un gruppo di cyberspionaggio focalizzato su Taiwan (presumibilmente BlackTech, secondo Trend Micro), ha rubato i certificati digitali di un software D-Link e li ha utilizzati per firmare malware spia.

La scoperta è frutto di un'analisi effettuata da ESET, azienda produttrice di ESET NOD32 antivirus. Durante la revisione di alcuni file identificati come sospetti dal software di protezione, si è notata la presenza di due malware firmati con certificati D-Link.

file dlink

I due malware in questione hanno scopi differenti. Il primo, il malware Plead, è una backdoor controllata a distanza. Il secondo, invece, è un password stealer che raccoglie le password salvate da Google Chrome, Internet Explorer, Outlook e Mozilla Firefox.

Questi software malevoli venivano firmati con certificati validi allo scopo di renderli invisibili agli antivirus. Insomma, sono stati utilizzati dagli hacker per farli apparire come applicazioni legittime.

Leggi anche: La rete wireless è sicura? Ecco i consigli di D-Link

I certificati rubati sono quelli che vengono utilizzati normalmente per visualizzare e configurare le telecamere IP D-link con il browser, tramite l'account mydlink. Ovviamente, ESET li ha prontamente segnalati a D-Link e la società ha provveduto nell'immediato a revocarli.

Fatto sta, però, che gli hacker continuano tutt'oggi ad utilizzare i certificati digitali D-Link revocati per autenticare i loro codici. Infatti, fino a quando non verranno applicati degli aggiornamenti lato client correlati ai software antivirus, il sistema rimarrà vulnerabile, perché l'antivirus non sarà in grado di riconoscere i certificati revocati. Per questo motivo, D-Link, nel comunicato ufficiale, consiglia di attivare l'opzione del browser che rileva e ignora i certificati revocati.