Instala malware bancário está a gerar desacordo sobre como se deve lidar com a utilização criminosa de certificados.
Os cibercriminosos estão a aproveitar a emissão de certificados digitais gratuitos pela Let’s Encrypt, provocando também desacordo sobre como lidar com esse tipo de abuso, entre a organização e a Trend Micro. Na quarta-feira, este fabricante revelou ter descoberto um ciberataque a 21 de Dezembro, projectado para instalar malware bancário em computadores.
Os hackers tinham comprometido um site legítimo e criaram um subdomínio que direccionado para um servidor sob o seu controlo, escreveu Joseph Chen, investigador de fraude no fabricante.
A Let’s Encrypt é um projecto gerido pelo Internet Security Research Group (ISRG) e apoiado pela Mozilla, a Electronic Frontier Foundation, a Cisco, e a Akamai, entre outros. É o primeiro montado em grande escala para emitir certificados digitais gratuitos, parte de um amplo movimento para melhorar a segurança em toda a Internet.
É possível revogar certificados digitais, mas a organização decidiu como política não o fazer. Em Outubro, a organização explicou que as autoridades de certificação (CA, na sigla em inglês) não estão equipados para controlar conteúdos.
Os atacantes podem ainda assim gerar novos certificados para domínios diferentes, e essas acções seriam difíceis de parar para qualquer autoridade, reconhece Josh Aas (ISRG).
O grupo apenas verifica com a API Safe Browsing, da Google, se um domínio para o qual for solicitado um certificado está assinalado, como estando associado com phishing ou malware. Chen não concorda com esta abordagem.” As CA devem estar dispostas a anular os certificados emitidos para entidades ilícitas, aproveitadas por vários actores de ameaça”, defende.
Josh Aas, director-executivo do ISRG, sustenta que embora o certificado em questão possa ser usado novamente, é improvável que os cibercriminosos consigam ir muito longe, porque os domínios estão ligados a conhecidos sites de “malvertising”, publicidade associada a ciberameaças.
Mas os atacantes podem ainda assim gerar novos certificados para domínios diferentes, e essas acções seriam difíceis de parar para qualquer autoridade, reconhece. Uma abordagem de defesa alternativa seria a de os correctores de anúncios online para implantarem controlos internos de modo a impedir anúncios maliciosos, sugere Aas.