Delincuentes informáticos brasileros han agregado certificados digitales, obtenidos ilegalmente en compañías de certificación, a troyanos bancarios, en una tentativa por hacer que el código malicioso sea menos sospechoso y se mantenga sin detectar por más tiempo. No hace mucho, Kaspersky Lab encontró troyanos bancarios que han adoptado esta técnica para tratar de hacerse pasar por una compañía brasilera de software.
Microsoft introdujo el concepto de software con firma digital en las versiones antiguas de Windows NT. El “Authenticode” actúa como una garantía, que testifica la autenticidad y el origen del software y de sus archivos. Por lo general, el sistema operativo confía en los programas con firma digital.
Diferencias entre el software con y sin firma digital
Hoy en día, la mayoría de los desarrolladores de software ponen firma digital a sus programas. El proceso involucra compañías conocidas como CAs (Certification Authorities, autoridades de certificación), que deben verificar la autenticidad de los archivos y emitir certificados a los desarrolladores.
Un código malicioso puede hacer diferentes intentos de abusar del Authenticode, tratando de hacerse pasar por software legítimo y con firma digital. Un delincuente informático puede crear un código malicioso que use información copiada de certificados pertenecientes a archivos legítimos. También puede emitir un certificado digital falso y firmado por él mismo, o puede robar un certificado válido y usarlo con fines maliciosos (como hicieron los creadores de Stuxnet y Duqu). Pero el peor escenario es cuando una CA emite un certificado digital válido para que los delincuentes informáticos firmen sus troyanos haciéndose pasar por empresas conocidas.
Y justo esto es lo que hicieron los delincuentes informáticos brasileros. Primero, registraron un dominio malicioso llamado gastecnology.org
.png)
Los datos de registro del dominio son completamente falsos. Además de usar una dirección de correo electrónico gratuita (Yahoo), en la dirección postal proporcionada hay un edificio de apartamentos y no uno comercial, como debería ser.
El teléfono registrado también es falso y no está ubicado en Vitória/Espirito Santo, sino en Pernambuco (codigo de area 81).
A pesar de usar tantos datos falsos para registrar el dominio, los delincuentes informáticos lograron obtener certificados digitales de Comodo, una CA norteamericana, usando ese nombre de dominio.
Se supone que las CAs deben emitir certificados digitales solo a compañías legítimas, después de comprobar la información del solicitante, algo que no se cumplió en este caso. Con los certificados digitales en sus manos, los delincuentes comenzaron a firmar sus troyanos y distribuirlos en ataques por correo electrónico, ofreciendo una supuesta "actualización" de los plugins necesarios para acceder a un servicio de banca online.
El certificado digital fraudulento se emitió el 28 de mayo pasado y es válido hasta el 29 de mayo de 2015.
Uno de los troyanos usados en el golpe, además de la firma digital, usaba otra artimaña bastante común entre los creadores de código malicioso: la descripción del archivo ejecutable mostraba datos completamente falsos, tratando de hacerse pasar por un archivo de impresora HP:
De esta manera, con una firma válida, el archivo se convierte en confiable, no solo para los usuarios, sino también para el sistema operativo e incluso para algunos programas antivirus que lo consideran legítimo en principio, porque ya está verificado por una empresa certificada y de renombre. No es raro que el software con firma digital se incluya en las bases de datos conocidas como "whitelist" (listas blancas) de aplicaciones firmadas y de confianza. Por lo general, esto representa un tiempo de reacción y detección por los proveedores de seguridad.
Los certificados digitales fraudulentos emitidos por Comodo y usados en este golpe fueron revocados este 13 de junio, 15 días después de su emisión.
Kaspersky detecta este troyano como Trojan-Banker.Win32.Banbra.atfl
(China)
(Japan)
(Korea)
