Troyanos bancarios brasileños ahora con firmas digitales

¿Es fácil para los cibercriminales comprar certificados digitales de Autoridades de Certificación (CAs) con datos falsos para firmar troyanos bancarios? Parece que en Brasil lo es.

Hoy en día, la mayoría de los desarrolladores incluyen firmas digitales en sus programas. El proceso implica que las Autoridades de Certificación deben verificar la autenticidad de los archivos y emitir un certificado para los desarrolladores.

Como sabemos, algunos de los escritores de malware utilizan certificados digitales válidos o robados para crear archivos que pueden permanecer sin ser detectados por mucho tiempo y reconocerse como legítimos. Ahora, los cibercriminales brasileños han comenzado a usar esta técnica en sus programas maliciosos para expandir el tiempo en el que sus programas permanecen fuera del radar. Hace poco encontramos un troyano bancario firmado con un certificado digital válido emitido por una Autoridad de Certificación. Parece que se utilizaron datos falsos de la compañía para conseguir el certificado.

¿Es fácil para una Autoridad de Certificación revisar si los datos que recibe son legítimos? Los cibercriminales brasileños registraron un dominio llamado gastecnology.org, copiando el nombre de una empresa de programas local reconocida. Estos son los datos que usaron para registrar el dominio:

Los datos son falsos. El dominio se registró usando una dirección de correo web (Yahoo). La dirección, en la hermosa ciudad de Vitória, es de un edificio residencial:

El número de teléfono que se usó para registrar el dominio también es falso; no es de Vitória (donde el código de área es 27), sino del estado de Pernambuco (código de área 81). Pero hasta usando los datos falsificados en el dominio registrado, los criminales pudieron comprar certificados digitales de Comodo, emitidos el 28 de mayo y válidos hasta el 29 de mayo de 2015:

Después de dar este paso tan fácil, comenzaron a firmar sus troyanos:

Se infectó a algunos usuarios con una campaña de correos masiva que solicitaba a los usuarios de bancos brasileños que instalaran una “actualización”.

Uno de los troyanos, además de tener una firma digital, utilizó otro truco común entre los escritores de malware: mencionó a HP en la descripción del archivo para tratar de engañar a los usuarios haciéndoles creer que era un archivo legítimo.

Comodo revocó los certificados digitales 15 días después de emitirlos, al recibir una alerta de una empresa de seguridad local. Kaspersky detecta a esta amenaza como Trojan-Banker.Win32.Banbra.atfl.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *