Novo vírus engana vítimas com certificado digital válido


Malware rouba contas bancárias e senhas e se propaga por meio de e-mails. Ele assume a forma de uma fatura do cartão, mas em PDF

Um dos elementos fundamentais do comércio eletrônico é a rede de
confiança ativada por certificados digitais. Quando o usuário acessa um
site, pode se sentir confiante de que ele é legítimo porque possui um
certificado de uma autoridade reconhecida que o valida.

Mas os próprios certificados podem ser vulneráveis. A empresa de segurança Malwarebytes descobriu recentemente alguns malwares na rede que possuíam um certificado digital válido.

“Um de nossos pesquisadores de segurança identificaram este malware”,
disse o pesquisador sênior de segurança da Malwarebytes, Jerome Segura.
“é um Cavalo de Troia típico, mas com uma peculiaridade: foi assinado
e, ao contrário de um monte de códigos maliciosos que utiliza
assinaturas, esta era válida.”

O malware é um ladrão de contas bancárias e senhas, o qual Segura diz
que se propaga por meio de e-mails. Parece ser uma fatura em PDF com um
certificado válido emitido pela autoridade de certificados SSL DigiCert
para uma empresa brasileira de software legitímo chamada “Buster Paper
Comercial Ltda”, disse Segura. O especialista observa ainda que, embora a
empresa tenha sido notificada sobre o código malicioso, o certificado
ainda não foi revogado.

“Eu não acho que ele foi só roubado”, afirmou Segura. “Parece que o
que os criminosos fizeram foi achar esta empresa no Brasil, que é
legítima, e essencialmente fizeram um pedido em seu nome à Digicert. Do
ponto de vista da autoridade de certificação, esse procedimento é
normal. Os golpistas provavelmente falsificaram o endereço de e-mail
para comprar o certificado. Parece que é muito fácil para qualquer um
que pesquisa um pouco, se passar por uma empresa ou criar um site falso
como se fosse uma companhia e, então, comprar um certificado.”

Quando alguém clica neste malware em particular, diz Segura, ele abre
o que parece ser uma fatura em PDF. Mas ele também cria uma série de
processos que se conectam a uma empresa de armazenamento em nuvem. “Este
é um sub-domínio para uma empresa de armazenamento em nuvem com foco em
compartilhamento de arquivos”, diz Segura. “Bem, no nosso caso, é o
armazenamento de arquivos para os criminosos.”

O falso PDF baixa dois arquivos muito grandes – WIDEAWAKE1.zip e
WIDEAWAKE1.ecl. A Malwarebytes também procurou a companhia de
armazenamento em nuvem para esclarecimentos sobre o assunto, mas ainda
não recebeu uma resposta.

Segura observa que a ThreatExpert, fornecedora de um sistema automatizado de análise de ameaças, identificou um Cavalo de Troia similar com um certificado digital válido em novembro passado – mas o certificado dele foi revogado.

“O que temos aqui é um abuso total dos serviços de hospedagem e de
certificados digitais e crimes repetidos pelas mesmas pessoas”, disse
Segura. “Claramente, se os certificados digitais podem ser tão
facilmente explorados, nós temos um grande problema em nossas mãos.”

Fonte: http://idgnow.uol.com.br/internet/2013/02/06/novo-virus-engana-vitimas-com-certificado-digital-valido/

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *