Não é a primeira vez que isso acontece: cibercriminosos brasileiros registram um domínio com dados falsos e a partir dele compram certificados digitais junto à empresa americana Comodo. Com esses certificados criam trojans bancários assinados digitalmente, para assim permanecer mais tempo sem serem detectados na máquina das vítimas.
Depois de a Kaspersky Lab divulgar em agosto passado esse incidente, a Linha Defensiva encontrou outra leva de trojans assinados com certificados digitais válidos, obtidos de maneira ilegal, usando dados falsos de registro. Os trojans bancários trazem certificados digitais emitidos para uma suposta empresa chamada “G & P Projetos e Sistemas Ltda“, da cidade de São Paulo. O certificado foi emitido pela Comodo em 21 de agosto, com validade padrão de um ano.
Certificados emitidos para o trojan brasileiro. (Foto: Reprodução)
O certificado referencia o domínio gpsistemas.net, cujo website exibe apenas uma página padrão usada por serviços de hospedagem:
Site da suposta empresa que registrou o vírus. (Foto: Reprodução)
Os dados do domínio gpsistemas.net seguem abaixo. Note que esses dados são falsos – mesmo que essa pessoa exista, é improvável que ela tenha qualquer conhecimento do golpe):
Informação de registro do GPSistemas.net
Os mesmos dados foram usados para registrar o site “g-buster.org”, cujo endereço é uma alusão ao software de segurança usado por bancos:
Informações de registro do G-Buster.org
Os trojans bancários assinados com esse certificado digital tentam enganar os usuários se passando por arquivos do GBPlugin, se instalando no sistema usando esses nomes:
- c:windowsSysWow64GbPlugin-Módulo de Segurança.scr
- c:windowsSysWow64GbPlugin-Módulo de Segurança.com
É responsabilidade da Comodo, enquanto autoridade certificadora, verificar a veracidade do pedido antes de emitir um certificado digital. É importante deixar claro, no entanto, que a Comodo não tem acesso ao arquivo em si que foi assinado, apenas às informações de registro fornecidas.
A tática dos cibercriminosos é simples: arquivos assinados geralmente possuem em tese uma procedência confiável, é uma prática comum entre grandes empresas desenvolvedoras de software, e são confiados pelos programas antivírus. Com isso eles conseguem passar mais tempo sem serem percebidos por mecanismos de segurança.
Os certificados digitais emitidos foram revogados pelo Comodo no último dia 21 de novembro, depois de uma denúncia. A Linha Defensiva encaminhou os arquivos desse trojan para que as companhias antivírus adicionem detecção.
A Linha Defensiva ainda aguarda resposta da Comodo para a emissão do primeiro certificado para um trojan bancário, em agosto. Não houve resposta da empresa para explicar o que houve (e continua acontecendo) para a emissão desses certificados.
Linha Defensiva 
Por favor, poderiam publicar os resultados destes exemplares no VirusTotal? Gostaria de verificar a detecção dos antivirus. Obrigado. Alfredo
CurtirCurtir
Alfredo, são vários arquivos. Veja abaixo a lista de MD5s, você pode busca-los no Virus Total:
9c047a21b68959adf1ab349ff240152c
677b4de6eae93d53bde03adc3d10bf7b
E9fa07feec31291168f63216da62fc41
E9afcdbdbc9816a1f4b5cfb2a46f301e
8e653a1077d790c078b6190f4c79aad2
6aaef1f534647ebca1e07bea45a6afa6
677b4de6eae93d53bde03adc3d10bf7b
9c047a21b68959adf1ab349ff240152c
710c4d7cf7ed8ad9e57ac07d4ef82dc3
CurtirCurtir
Bom dia, gostaria de mais detalhes sobre o post, existe alguma providência por parta da G&P à ser tomada? Alguma precaução ou medida cautelar?
CurtirCurtir