Cibercriminosos brasileiros têm adicionado aos trojans bancários certificados digitais obtidos ilegalmente com companhias de certificação, visando tornar o código malicioso menos suspeito e indetectável por mais tempo. Recentemente, a Kaspersky Lab encontrou trojans bancários adotando esta técnica, tentando se passar por uma companhia brasileira fabricante de software.
O conceito de software assinado digitalmente foi introduzido pela Microsoft nas antigas versões do Windows NT. O “Authenticode” atua como uma garantia, comprovando a autenticidade e origem do software e seus arquivos. Geralmente, os programas assinados digitalmente são confiados pelo sistema operacional.
Hoje a maioria dos desenvolvedores de software assina digitalmente seus programas. O processo envolve companhias conhecidas como CAs (Certification Authorities), que devem verificar a autenticidade dos arquivos e emitir o certificado aos desenvolvedores. Um código malicioso pode tentar de várias formas abusar do Authenticode, tentando se passar por software legítimo e assinado digitalmente. Um cibercriminoso pode criar um código malicioso que use as informações copiadas de certificados pertencentes a arquivos legítimos. Porém, neste caso, eles obtiveram um certificado digital válido emitido por uma CA, com emulação de nomes de empresas conhecidas, e registraram um domínio malicioso forjado chamado gastecnology.org
Além de usarem um endereço de e-mail de um serviço gratuito (Yahoo), o endereço informado é de um prédio de apartamentos, e não um prédio comercial. O telefone informado também é falso e não está localizado em Vitória/ Espírito Santo, mas sim em Pernambuco (DDD 81). Apesar disso, os cibercriminosos conseguiram obter certificados digitais junto à Comodo, usando os dados deste domínio. Com os certificados digitais em mãos, os criminosos começaram a assinar seus trojans e distribuí-los em ataques por e-mail, oferecendo uma suposta “atualização” dos plugins bancários exigidos para acessar o serviço de internet banking. O certificado digital fraudulento foi emitido no dia 28 de maio passado, com validade até 29 de maio de 2015.
Um dos trojans usados neste golpe, além de ser assinado digitalmente, se valia de uma descrição do executável que exibia dados totalmente forjados, tentando se passar por um arquivo pertencente às impressoras da HP. Dessa forma, a assinatura válida apontava que o arquivo era confiável não só para usuários, mas também para o sistema operacional e até alguns programas antivírus, que inicialmente consideram o arquivo como legítimo uma vez que houve verificação e associação a uma empresa conhecida e certificada. Não raramente software assinado digitalmente é adicionado às bases de dados conhecidas como “whitelist” de aplicações assinadas e confiadas. Os certificados digitais fraudulentos emitidos pela Comodo e usados nesse golpe foram revogados no último dia 13 de Junho, 15 dias depois de serem emitidos.
