Não é a primeira vez que isso acontece: cibercriminosos brasileiros registram um domínio com dados falsos e a partir dele compram certificados digitais junto à empresa americana Comodo.  Com esses certificados criam trojans bancários assinados digitalmente, para assim permanecer mais tempo sem serem detectados na máquina das vítimas.

Depois de a Kaspersky Lab divulgar em agosto passado esse incidente, a Linha Defensiva encontrou outra leva de trojans assinados com certificados digitais válidos, obtidos de maneira ilegal, usando dados falsos de registro. Os trojans bancários trazem certificados digitais emitidos para uma suposta empresa chamada “G &  P Projetos e Sistemas Ltda“, da cidade de São Paulo. O certificado foi emitido pela Comodo em 21 de agosto, com validade padrão de um ano.

Certificados emitidos para o trojan brasileiro. (Foto: Reprodução)

O certificado referencia o domínio gpsistemas.net, cujo website exibe apenas uma página padrão usada por serviços de hospedagem:

Site da suposta empresa que registrou o vírus. (Foto: Reprodução)

Os dados do domínio gpsistemas.net seguem abaixo. Note que esses dados são falsos – mesmo que essa pessoa exista, é improvável que ela tenha qualquer conhecimento do golpe):

Informação de registro do GPSistemas.net

Os mesmos dados foram usados para registrar o site “g-buster.org”, cujo endereço é uma alusão ao software de segurança usado por bancos:

Informações de registro do G-Buster.org

Os trojans bancários assinados com esse certificado digital tentam enganar os usuários se passando por arquivos do GBPlugin, se instalando no sistema usando esses nomes:

  • c:windowsSysWow64GbPlugin-Módulo de Segurança.scr
  •  c:windowsSysWow64GbPlugin-Módulo de Segurança.com

É responsabilidade da Comodo, enquanto autoridade certificadora, verificar a veracidade do pedido antes de emitir um certificado digital. É importante deixar claro, no entanto, que a Comodo não tem acesso ao arquivo em si que foi assinado, apenas às informações de registro fornecidas.

A tática dos cibercriminosos é simples: arquivos assinados geralmente possuem em tese uma procedência confiável, é uma prática comum entre grandes empresas desenvolvedoras de software, e são confiados pelos programas antivírus. Com isso eles conseguem passar mais tempo sem serem percebidos por mecanismos de segurança.

Os certificados digitais emitidos foram revogados pelo Comodo no último dia 21 de novembro, depois de uma denúncia. A Linha Defensiva encaminhou os arquivos desse trojan para que as companhias antivírus adicionem detecção.

A Linha Defensiva ainda aguarda resposta da Comodo para a emissão do primeiro certificado para um trojan bancário, em agosto. Não houve resposta da empresa para explicar o que houve (e continua acontecendo) para a emissão desses certificados.

Anúncios

Escrito por Redação Linha Defensiva

3 comentários

  1. Alfredo Ribeiro 13/12/2012 às 09:34

    Por favor, poderiam publicar os resultados destes exemplares no VirusTotal? Gostaria de verificar a detecção dos antivirus. Obrigado. Alfredo

    Curtir

    Responder

    1. Fabio Assolini 13/12/2012 às 11:49

      Alfredo, são vários arquivos. Veja abaixo a lista de MD5s, você pode busca-los no Virus Total:
      9c047a21b68959adf1ab349ff240152c
      677b4de6eae93d53bde03adc3d10bf7b
      E9fa07feec31291168f63216da62fc41
      E9afcdbdbc9816a1f4b5cfb2a46f301e
      8e653a1077d790c078b6190f4c79aad2
      6aaef1f534647ebca1e07bea45a6afa6
      677b4de6eae93d53bde03adc3d10bf7b
      9c047a21b68959adf1ab349ff240152c
      710c4d7cf7ed8ad9e57ac07d4ef82dc3

      Curtir

      Responder

  2. Bom dia, gostaria de mais detalhes sobre o post, existe alguma providência por parta da G&P à ser tomada? Alguma precaução ou medida cautelar?

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.