Certificados digitais roubados estão sendo usados para manter agentes mal intencionados escondidos sob uma credencial legitima, revela estudo divulgado pela FireEye.
O levantamento apura ainda que, recentemente, Trojans como Zeus usaram assinaturas autênticas para passar por defesas automáticas e humanas, com o intuito de roubar informações bancárias.
Algumas amostras de malware chamaram a atenção da FireEye por causa da distribuição em massa de RATs (sigla em inglês para Ferramenta de Administração Remota) em uma região em particular. Também por causa do recente caso do malware XtremeRAT, publicado no blog da FireEye (em inglês) no inicio de 2014.
Os pesquisadores da FireEye encontraram um malware com assinatura digital enquanto investigavam um aumento nas campanhas de spam Spy-Net (um tipo de RAT). O Spy-Net permite ao invasor um grande controle da máquina da vítima via remote shell, com os recursos:
·Realizar downloads e uploads
·Alterar o registro
·Acesso aos processos em execução e serviços
.Capturar imagens da área de trabalho
·Gravações de áudio e vídeo por meio da webcam
·Extrair senhas salvas
·Tornar a vítima um servidor Proxy
Variações do malware ainda são capazes de se defender de processos de segurança que o identificam e se desligando automaticamente. A amostra testada, o arquivo sc2.exe, apresentou comportamentos típicos do Spy-Net. A partir disso, os pesquisadores começaram a testar a assinatura da CZ Solution por meio de pivotação.
Em meio aos testes, especialistas da FireEye encontraram particularidades que provaram que a assinatura da CZ Solution não estava sendo utilizada apenas em binários Spy-Net, mas também com XtremeRAT, usado regularmente por ciber criminosos. O XtremeRAT tem as mesmas funcionalidades do Spy-Net e seu código é compartilhado com muitos outros projetos de RAT, incluindo o CyberGate e o Cerberus.
Foram encontradas ainda várias amostras do Trojan Zeus utilizando a assinatura da CZ Solution. O Zeus pode ser modificado para roubar informações que normalmente envolvem logins de redes sociais, e-mail e internet banking. O trojan é largamente usado para lesar clientes de instituições financeiras.
A partir das amostras analisadas, constatou-se que a assinatura da CZ Solution foi utilizada para criar e assinar os malwares Spy-Net, XtremeRAT, Zeus e outros.
O estudo informa também que foram utilizados outros RAT sob a assinatura da CZ Solution como o BozokRAT. Com tantos binários se interligando, a FireEye começou a traçar paralelos entre as amostras descobrindo suas tendências como a sobreposição de C2 (C2 Overlap) e vetores de invasão como o phishing.
Numa análise de todas as amostras correlatadas e pivotadas, os especialistas notaram que a maioria da linguagem e C2 usados girava em torno do idioma francês. Os domínios que fazem parte da infra-estrutura C2 eram quase todos exclusivamente em francês, assim como as informações da pessoa que registrou os domínios em questão.
A conclusão tirada pelos técnicos da FireEye é de que uso de assinaturas não irá diminuir em breve – especialmente por agentes de ameaças. Estas assinaturas e certificados são uma maneira rápida e simples de passar por cima de controles tradicionais de segurança, visto que estes são considerados confiáveis por padrão. Os estudos publicados pela FireEye provam que o uso é uma tendência.
Os pesquisadores da FireEye podem dizer com segurança, baseados nas informações coletadas, que as assinaturas da CZ Solution foram utilizadas por um indivíduo ou um grupo usando infraestrutura e ativos franceses. Estes invasores em particular não mostraram um nível significante de expertise, mas mostraram recursos coletivos com conhecimento em pelo menos três malwares: Zeus, Spy-Net e XtremeRAT.
Para ajudar a proteger a sua empresa e outras contra ameaças usando assinaturas digitais válidas, você pode incluir a verificação do número de série da assinatura.
Neste caso, o número de série: 6e 7b 63 95 ac 5b 5c 8a 2a ec c4 52 8d 9e 65 10 é o identificador para localizar a relação com este editor. Além disso, se você estiver executando sua própria certificação interna, garanta que certificados que podem ter sido comprometidos sejam revogados devidamente. Isso ajudará a garantir que certificados comprometidos não são utilizados em ataques.
Para saber mais informações, acesse a análise completa do caso (em inglês):http://www.fireeye.com/blog/technical/2014/07/the-little-signature-that-could-the-curious-case-of-cz-solution.html
Fonte:
:: Convergência Digital :: 22/07/2014
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.