Programa troiano engana com certificado digital válido

Malware rouba contas bancárias e passwords e propaga-se por e-mail. Assume a forma de uma factura em PDF.

Um dos elementos fundamentais do comércio electrónico é a rede de confiança activada pelos certificados digitais. Quando o utilizador acede a um site, pode sentir-se confiante de que ele é legítimo porque possui um certificado de uma autoridade reconhecida que o valida.

Mas os próprios certificados são vulneráveis. A empresa de segurança Malwarebytes descobriu recentemente alguns malwares com um certificado digital válido.

“Um dos nossos investigadores de segurança identificou este malware”, disse o investigador sénior de segurança da Malwarebytes, Jerome Segura. “É um programa troiano típico, mas com uma peculiaridade: foi assinado e, ao contrário de um monte de códigos maliciosos que utilizam assinaturas, esta era válida”.

O malware rouba informação de contas bancárias e passwords, o qual Segura diz que se propaga por meio de e-mails. Parece ser uma factura em PDF com um certificado válido emitido pela autoridade de certificados SSL DigiCert para uma empresa brasileira de software legitímo chamada “Buster Paper Comercial Ltda”, disse Segura. O especialista observa ainda que, embora a empresa tenha sido notificada sobre o código malicioso, o certificado ainda não foi revogado.

“Eu não acho que ele foi só roubado”, afirmou Segura. “Parece que o que os criminosos fizeram foi achar esta empresa no Brasil, que é legítima, e essencialmente fizeram um pedido em seu nome à Digicert. Do ponto de vista da autoridade de certificação, esse procedimento é normal. Os golpistas provavelmente falsificaram o endereço de e-mail para comprar o certificado. Parece que é muito fácil para qualquer um que pesquisa um pouco fazer-se passar por uma empresa ou criar um site falso como se fosse uma empresa e, então, comprar um certificado”.

Quando alguém clica neste malware em particular, diz Segura, ele abre o que parece ser uma factura em PDF. Mas também cria uma série de processos que se ligam a uma empresa de armazenamento na cloud. “Este é um sub-domínio para uma empresa de armazenamento em nuvem com foco em partilha de ficheiros”, diz Segura. “No nosso caso, é o armazenamento de ficheiros para os criminosos”.

O falso PDF activa a transferência de dois ficheiros. A Malwarebytes também procurou a empresa de armazenamento em nuvem para esclarecimentos sobre o assunto, mas ainda não recebeu uma resposta.

Segura observa que a ThreatExpert, fornecedora de um sistema automatizado de análise de ameaças, identificou um troiano similar com um certificado digital válido em Novembro passado – mas o seu certificado foi revogado.

“O que temos aqui é um abuso total dos serviços de hospedagem e de certificados digitais e crimes repetidos pelas mesmas pessoas”, disse Segura. “Claramente, se os certificados digitais podem ser tão facilmente explorados, temos um grande problema em mãos”.
(CIO/IDG Now!)




Deixe um comentário

O seu email não será publicado