Um Trojan Bancário Usa um Certificado Digital Válido para Ignorar Soluções de Segurança

Uma nova tática que os cibercriminosos estão explorando é a que oculta os ataques on-line por trás do que é visto como certificados digitais legítimos.

Todos os dias depositamos nossa confiança nos desenvolvedores de software e desenvolvedores de sites amigáveis para manter nossas informações seguras e limitar a propagação de malware. É quase inevitável que, em algum momento, nos deparemos com malware, mas a maneira pela qual parte do malware encontrado passou por certificados digitais confiáveis descobertos para ocultar malware.

Um certificado digital é como um cartão de crédito elétrico que inicialmente estabelece suas credenciais ao fazer transações na Internet. Eles são emitidos por uma autoridade de certificação e geralmente contêm seu nome, datas de validade, um número de série e a chave pública do titular do certificado. Basicamente, um certificado digital mais ou menos uma assinatura digital usada para criptografar mensagens ao acessar determinados sites.

Confiando em um certificado digital, um site confia nas informações que estão sendo negociadas de e para o sistema acessado. Recentemente, uma empresa de segurança descobriu variações de um novo Trojan vinculado a uma empresa falsa no Brasil que havia sido legalmente registrada. Portanto, seus certificados digitais eram confiáveis e forneciam um meio para mascarar malware. A falsa empresa brasileira foi criada com o objetivo principal de obter um certificado digital verificável. Dentro dos certificados, foram descobertas até cinco variações do mesmo malware. Agora, até 19 variações foram descobertas, o que prova o certificado digital sendo usado para explorar e repassar malware em abundância.

A validação dos arquivos é feita através de certificados digitais. Com o malware oculto em um arquivo validado devido a um certificado confiável, ele nunca será sinalizado ou bloqueado por algo como um filtro de spam. Isso significa que os invasores poderão enviar arquivos contaminados por e-mail, sem bloqueios previstos no lado receptor. Esse caso é como uma erupção recente de ataques usando a plataforma vulnerável do Java.

No recente caso do Trojan bancário chamado Spyware.Banker.FakeSig, o arquivo malicioso enviado por email é um PDF, que se conecta a um servidor que baixa o Trojan na área de trabalho. Esse tipo de ataque é comumente usado em campanhas de spear-phishing. Com os pesquisadores de segurança que se aprofundaram neste certificado digital de malware, descobriram que eram problemas para uma empresa falsa chamada "Buster Paper Comercial Ltda" fora do Brasil. Como se vê, se as empresas parecem legítimas para as autoridades de certificação, aquelas que emitem aprovação para certificados, elas concedem o certificado e ninguém é o mais sábio.

Até que as práticas das autoridades de certificação sejam limpas, podemos continuar vendo a exploração de certificados digitais atados a malware e, posteriormente, conceder aos cibercriminosos acesso livre e sem adulteração para espalhar malware por vários métodos diferentes.