Um Malware de Backdoor está sendo Disseminado por Meio de Alertas de Falsos Certificados de Segurança

As variantes de backdoor e de Trojans estão sendo distribuídas através de novas técnicas de phishing. Eles tentam convencer suas vítimas a aceitar uma atualização falsa com certificados de segurança do site.

As autoridades de certificação (CAs) distribuem seus certificados de segurança SSL/TLS on-line, criptografando as comunicações entre navegadores e servidores. Isso é especialmente importante para domínios que trabalham com comércio eletrônico em mente, identificando também a validação, que ajuda a criar confiança na segurança de um domínio.

Um Novo Método de Phishing Aparece

Embora existam casos de fraude ou uso indevido de certificado por aí, os cibercriminosos geralmente se apresentam como executivos tentando obter certificados de segurança, assinando domínios fraudulentos. Agora, uma nova abordagem de phishing está sendo usada para abusar do sistema de confiança de certificados.

Os pesquisadores de segurança cibernética da Kaspersky descobriram que a nova técnica foi identificada em vários sites, desde lojas que vendem peças de veículos até um zoológico. As primeiras infecções que detectaram ocorreram em 16 de janeiro de 2020.

Os visitantes de um desses domínios comprometidos pela campanha em que os invasores estão trabalhando foram recebidos com uma tela avisando que o certificado de segurança está desatualizado. Em vez da abordagem usual, quando o proprietário do domínio precisa atualizá-lo, os usuários são solicitados a instalar uma atualização de certificado de segurança falsa para continuar no site adequado. Eles podem ser usados para promover os objetivos dos cibercriminosos à medida que sua campanha continua, com a extração de informações das máquinas infectadas e a venda dos dados na dark web.

Como a Campanha de Phishing Funciona em Termos Técnicos?

A mensagem está realmente dentro de um iframe; o conteúdo é carregado por meio de um script jquery.js do servidor de comando e controle de terceiros. Esse servidor mantém contato com as máquinas infectadas. A barra de URL ainda mantém o endereço original do domínio legítimo, tornando a tentativa de phishing mais autêntica.

O script jquery.js sobrepõe o iframe que é o tamanho exato da página, de acordo com os pesquisadores. Em vez da página original abaixo, os usuários veem um banner com aparência genuína que solicita a instalação do certificado falso.

Se a vítima clicar no botão de atualização, um download será iniciado, especificamente Certificate_Update_v02.2020.exe. Quando é descompactado e instalado, o executável baixado oferece uma das duas variantes de malware:

O Mokes, um backdoor para Windows/Mac que pode executar código, tira capturas de tela e exfiltra arquivos, capturas de áudio e vídeo. Ele também pode instalar um backdoor para persistência adicional, enquanto usa a criptografia AES-256 para ocultar suas atividades.

O Buerak é um Trojan do Windows capaz de executar código e afetar os processos em execução. Também pode manter a persistência por meio do uso de chaves do Registro, roubar conteúdo e detectar tentativas de análise e sandbox.