• Malware e Certificados Digitais: Combinação Perigosa

    Nos últimos dias, temos ouvido várias histórias sobre grandes corporações que sofreram investidas de crackers e seus sistemas de segurança tendo sido completamente ignorados. Isso mostra que qualquer coisa deve nos lembrar de quão vulneráveis são nossos dados e a nossa privacidade grande rede. O fato principal é que há tantos ângulos que podem ser explorados que no final de tudo, pode deixar-nos sem saber em que ou em quem confiar.

    Assim, tomamos por exemplo certificados digitais, que foram o centro das atenções após o perigoso worm Stuxnet ter usado alguns servidores ou depois da Adobe ter alguns certificados violados para assinatura de malware. O propósito de uma assinatura digital é garantir a autenticidade de um arquivo a partir de um determinado fornecedor, e assim, é disponibilizado por uma das autoridades de certificação. Além disso, foi vista uma nova amostra de malware (ladrão de bancos / senha), que passa a ser assinada com um certificado real e digital válido, emitido pelo DigiCert:




    Este certificado é emitido através de uma empresa chamada "Papel Buster Comercial Ltda", empresa brasileira que realmente não existe e foi registrada com dados falsos. O arquivo - disfarçado como um documento PDF (uma fatura) - na verdade, abre-se como tal, para realmente enganar a vítima:




    Mas o que realmente está acontecendo aqui? Vamos dar uma olhada, aqui estão os novos processos criados:




    Este é um sub-domínio para uma empresa de armazenamento em nuvem com foco em compartilhamento de arquivos para a empresa. No caso em questão, é o armazenamento de arquivos para os cibercriminosos. O documento falso em PDF baixa uma carga adicional armazenada no servidor:

    hxxps :/ / som.egnyte.com / hs-interna / {redacted} / f3487f359b38436f
    hxxps :/ / som.egnyte.com / hs-interna / {redacted} / d3669545621045d9

    Esses arquivos são trojans bancários muito grandes (mais de 10 MB quando descompactados). Sem trocadilhos, mas o tamanho importa porque muitos scanners antivírus têm problemas com a detecção de arquivos maiores. Indo um pouco mais fundo, este não é um caso novo de um modo geral. De fato, em novembro passado, o mesmo tipo de trojan assinado digitalmente também foi distribuído. Seu certificado, desde então, foi revogado.

    O que temos aqui é um abuso total de serviços de hospedagem, certificados digitais e reincidência das mesmas pessoas. Claramente, se os certificados digitais podem sofrer esse abuso tão facilmente, nós temos um grande problema em nossas mãos. Isso porque o roubo de certificado digital pode ser usado em ataques direcionados como um ataque de phishing, por exemplo. Como sabemos, um dos elos mais fracos na cadeia de segurança é o usuário final (e isso é especialmente verdade no mundo empresarial).

    O que acontece é que um invasor pode facilmente descobrir ou adivinhar o que uma empresa de antivírus está executando e criar uma amostra de malware que não será detectada por essa empresa. Isso porque tais ataques são muito bem articulados, e a amostra não será divulgada em todo o mundo, tornando a sua descoberta menos provável.


    Saiba Mais:

    [1] Help Net - Malware News http://www.net-security.org/malware_news.php?id=2400

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L