Assim, tomamos por exemplo certificados digitais, que foram o centro das atenções após o perigoso worm Stuxnet ter usado alguns servidores ou depois da Adobe ter alguns certificados violados para assinatura de malware. O propósito de uma assinatura digital é garantir a autenticidade de um arquivo a partir de um determinado fornecedor, e assim, é disponibilizado por uma das autoridades de certificação. Além disso, foi vista uma nova amostra de malware (ladrão de bancos / senha), que passa a ser assinada com um certificado real e digital válido, emitido pelo DigiCert:
Este certificado é emitido através de uma empresa chamada "Papel Buster Comercial Ltda", empresa brasileira que realmente não existe e foi registrada com dados falsos. O arquivo - disfarçado como um documento PDF (uma fatura) - na verdade, abre-se como tal, para realmente enganar a vítima:
Mas o que realmente está acontecendo aqui? Vamos dar uma olhada, aqui estão os novos processos criados:
Este é um sub-domínio para uma empresa de armazenamento em nuvem com foco em compartilhamento de arquivos para a empresa. No caso em questão, é o armazenamento de arquivos para os cibercriminosos. O documento falso em PDF baixa uma carga adicional armazenada no servidor:
hxxps :/ / som.egnyte.com / hs-interna / {redacted} / f3487f359b38436f
hxxps :/ / som.egnyte.com / hs-interna / {redacted} / d3669545621045d9
Esses arquivos são trojans bancários muito grandes (mais de 10 MB quando descompactados). Sem trocadilhos, mas o tamanho importa porque muitos scanners antivírus têm problemas com a detecção de arquivos maiores. Indo um pouco mais fundo, este não é um caso novo de um modo geral. De fato, em novembro passado, o mesmo tipo de trojan assinado digitalmente também foi distribuído. Seu certificado, desde então, foi revogado.
O que temos aqui é um abuso total de serviços de hospedagem, certificados digitais e reincidência das mesmas pessoas. Claramente, se os certificados digitais podem sofrer esse abuso tão facilmente, nós temos um grande problema em nossas mãos. Isso porque o roubo de certificado digital pode ser usado em ataques direcionados como um ataque de phishing, por exemplo. Como sabemos, um dos elos mais fracos na cadeia de segurança é o usuário final (e isso é especialmente verdade no mundo empresarial).
O que acontece é que um invasor pode facilmente descobrir ou adivinhar o que uma empresa de antivírus está executando e criar uma amostra de malware que não será detectada por essa empresa. Isso porque tais ataques são muito bem articulados, e a amostra não será divulgada em todo o mundo, tornando a sua descoberta menos provável.
Saiba Mais:
[1] Help Net - Malware News http://www.net-security.org/malware_news.php?id=2400