Noticias

Troyanos bancarios brasileños ahora con firmas digitales

¿Es fácil para los cibercriminales comprar certificados digitales de Autoridades de Certificación (CAs) con datos falsos para firmar troyanos bancarios? Parece que en Brasil lo es.

Hoy en día, la mayoría de los desarrolladores incluyen firmas digitales en sus programas. El proceso implica que las Autoridades de Certificación deben verificar la autenticidad de los archivos y emitir un certificado para los desarrolladores.

Como sabemos, algunos de los escritores de malware utilizan certificados digitales válidos o robados para crear archivos que pueden permanecer sin ser detectados por mucho tiempo y reconocerse como legítimos. Ahora, los cibercriminales brasileños han comenzado a usar esta técnica en sus programas maliciosos para expandir el tiempo en el que sus programas permanecen fuera del radar. Hace poco encontramos un troyano bancario firmado con un certificado digital válido emitido por una Autoridad de Certificación. Parece que se utilizaron datos falsos de la compañía para conseguir el certificado.

¿Es fácil para una Autoridad de Certificación revisar si los datos que recibe son legítimos? Los cibercriminales brasileños registraron un dominio llamado gastecnology.org, copiando el nombre de una empresa de programas local reconocida. Estos son los datos que usaron para registrar el dominio:

Los datos son falsos. El dominio se registró usando una dirección de correo web (Yahoo). La dirección, en la hermosa ciudad de Vitória, es de un edificio residencial:

El número de teléfono que se usó para registrar el dominio también es falso; no es de Vitória (donde el código de área es 27), sino del estado de Pernambuco (código de área 81). Pero hasta usando los datos falsificados en el dominio registrado, los criminales pudieron comprar certificados digitales de Comodo, emitidos el 28 de mayo y válidos hasta el 29 de mayo de 2015:

Después de dar este paso tan fácil, comenzaron a firmar sus troyanos:

Se infectó a algunos usuarios con una campaña de correos masiva que solicitaba a los usuarios de bancos brasileños que instalaran una “actualización”.

Uno de los troyanos, además de tener una firma digital, utilizó otro truco común entre los escritores de malware: mencionó a HP en la descripción del archivo para tratar de engañar a los usuarios haciéndoles creer que era un archivo legítimo.

Comodo revocó los certificados digitales 15 días después de emitirlos, al recibir una alerta de una empresa de seguridad local. Kaspersky detecta a esta amenaza como Trojan-Banker.Win32.Banbra.atfl.

Troyanos bancarios brasileños ahora con firmas digitales

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada