• GovRAT: Plataforma de "Malware-Signing-as-a-Service" Oferecida em Foruns Underground

    Publicado em 06-11-2015 03:00
    0 Comentários Comentários
    Os certificados digitais são muito atraentes para os criminosos online e agências de inteligência, e uma das técnicas de utilização mais interessantes é a assinatura de código de malware que é usada para contornar as funcionalidades de soluções antivírus. Naturalmente, os certificados digitais vão se tornando cada vez mais um bem precioso no ecossistema da clandestinidade, devido a muitos indivíduos que operam nesses mercados underground começarem a propagar fortemente este negócio, que vai ganhando impulso e se tornando altamente lucrativo. Em face disso, a algumas semanas, especialistas da IBM Security X-Force puderam observar a oferta de certificados em foruns e comunidades onde há grande concentração de cybercriminosos na Web, com um modelo de venda que eles intitularam de CaaS (Certificates-as-a-Service). Os cybercriminosos usam esses foruns clandestinos para promover a venda de certificados - que eles tenham obtido a partir de CA (Certificate Authorities), sendo estes certificados confiáveis para alguém que esteja interessado em comprá-los. A venda de "code signing certificates" tem aumentado consideravelmente ao longo dos últimos meses, sendo uma tendência também confirmada por uma análise recente realizada pela empresa de inteligência de ameaças InfoArmor.



    A referida pesquisa, tem dado origem a um caso em que um cracker enganou uma autoridade de certificação legítima para a emissão de certificados digitais para o malware, antes mesmo de oferecer uma ferramenta de cyber-espionagem chamada GovRAT. O GovRAT é uma poderosa plataforma de hacking que permite a criação de malware, pois ele vem com certificados digitais para assinatura de código. Os mesmos certificados digitais foram inicialmente colocados à venda no mercado clandestino "TheRealDeal Market", que é hospedado na rede Tor. Além disso, GovRAT foi colocada à venda por 1,25 Bitcoin, mas os especialistas em segurança que vem acompanhando a propagação desta praga observaram que o criador da plataforma agora está fazendo negociações de forma privada. Ressaltando que GovRAT utiliza ferramentas especiais para assinatura de código, como o Microsoft SignTool e WinTrust com o intuito de assinar digitalmente o código malicioso.


    Saiba Mais:

    [1] Security Affairs http://securityaffairs.co/wordpress/...-platform.html
    + Enviar Comentário