A equipe de Análise e Resposta a Incidentes de Segurança — ARIS — da
Linha Defensiva obteve acesso a um cavalo de tróia brasileiro do tipo
Banker que cria um certificado SSL falso. O certificado garante que o
famoso “cadeado” de segurança SSL seja exibido mesmo na página
maliciosa para a qual o cavalo de tróia redireciona o usuário. No golpe
observado, Itaú, Banco do Brasil, Caixa Econômica Federal e Infoseg
(órgão de segurança do governo brasileiro) estavam entre os sites
redirecionados.
Os certificados SSL são emitidos por “entidades certificadoras”. A função destes certificados é a de atestar que o site
visitado é verdadeiro e que a transmissão de dados entre o site e o
internauta é feita por um canal criptografado (o SSL — Secure Sockets
Layer). Nessas situações, um cadeado é exibido na página do navegador e
o endereço na barra de ferramentas inicia com ‘https’.
A maioria dos bancos e instituições financeiras orientam seus usuários
para que verifiquem a existência de um cadeado no momento do acesso as
áreas restritas de seus sites, o que atesta que a página é verdadeira.
Geralmente, o redirecionamento para falsas páginas de banco pode ser
detectado pela ausência do cadeado nas páginas de acesso. Neste trojan
analisado pelo ARIS, no entanto, as páginas falsas não podem ser
identificadas desta forma, pois a praga faz uso de um certificado
falso. O usuário vê um pequeno aviso ao entrar no site, mas, após isso,
o cadeado aparece normalmente na parte inferior do navegador, como
ocorre no site verdadeiro.
Como funciona a praga digital
Após ser executado, o cavalo de tróia altera o arquivo HOSTS do Windows,
adicionando o IP de um servidor controlado por criminosos, onde estão
hospedadas as páginas maliciosas, no arquivo. Neste ataque, o IP estava
alocado a um computador do Canadá. Quando o usuário acessa algum dos
sites-alvo, o computador é redirecionado para este servidor e, caso o
usuário prossiga com a tentativa de acesso ao banco, o mesmo enviará as
informações fornecidas pelo usuário aos golpistas.
Este golpe, que usa entradas no arquivo HOSTS, é conhecido como Banhost
e é bem comum, conforme já noticiado pela Linha Defensiva.
Com o trojan instalado, ao acessar uma das páginas redirecionadas pelo
trojan, especialmente aquelas onde há necessidade de preenchimento de
informações como senhas, o usuário é alertado sobre a falsidade do
certificado que o site está usando. Estes avisos, infelizmente, são
constantemente ignorados por usuários, pois mesmos sites legítimos os
exibem (geralmente um erro de configuração), e muitos internautas estão acostumados a clicar em “Sim” e “OK” em qualquer janela de aviso.
Nas conexões SSL é possível ver a entidade emissora do certificado,
dando um duplo clique sobre o cadeado no navegador. Nesse caso
específico, é possível ver que o emissor do certificado é um domínio
brasileiro que não tem nenhuma relação com as páginas visitadas.
Certificados digitais verdadeiros possuem o nome da entidade
certificadora, as mais comuns são VeriSign, Thawte, Equifax, Saphety,
Multicert, entre outras.
Domínio brasileiro envolvido
O domínio computing.com.br, citado no falso certificado, tem sido
amplamente utilizado para a distribuição de vírus dessa natureza desde
novembro do ano passado. O ARIS já recebeu várias cópias de mensagens
de phishing scam que levavam para links desse domínio.
Segundo o Registro.BR, órgão responsável pelo registro de domínios no
Brasil está registrado para uma empresa transportadora de cargas e
logística da cidade de Guarulhos/SP, também responsável pelo registro
de um dominio já congelado, reservasvoegol.com.br, que já foi usado
para distribuir vírus com o mesmo objetivo.
Após denúncias da Linha Defensiva ao Registro.BR sobre o fato desse
domínio estar sendo usado em golpes distribuindo virus, recebemos a
seguinte resposta:
A equipe da Linha Defensiva notificou ao CERT.br, responsável pela
análises de incidentes de segurança no Brasil, que informou que
providências foram tomadas. No entanto, quase um mês e meio após a
denúncia inicial, o domínio - que é falso e não tem site legítimo
hospedado - continua no ar.
A remoção deste trojan é possível usando nossa ferramenta gratuita de remoção de Bankers, o BankerFix.
Linha Defensiva obteve acesso a um cavalo de tróia brasileiro do tipo
Banker que cria um certificado SSL falso. O certificado garante que o
famoso “cadeado” de segurança SSL seja exibido mesmo na página
maliciosa para a qual o cavalo de tróia redireciona o usuário. No golpe
observado, Itaú, Banco do Brasil, Caixa Econômica Federal e Infoseg
(órgão de segurança do governo brasileiro) estavam entre os sites
redirecionados.
Os certificados SSL são emitidos por “entidades certificadoras”. A função destes certificados é a de atestar que o site
visitado é verdadeiro e que a transmissão de dados entre o site e o
internauta é feita por um canal criptografado (o SSL — Secure Sockets
Layer). Nessas situações, um cadeado é exibido na página do navegador e
o endereço na barra de ferramentas inicia com ‘https’.
A maioria dos bancos e instituições financeiras orientam seus usuários
para que verifiquem a existência de um cadeado no momento do acesso as
áreas restritas de seus sites, o que atesta que a página é verdadeira.
Geralmente, o redirecionamento para falsas páginas de banco pode ser
detectado pela ausência do cadeado nas páginas de acesso. Neste trojan
analisado pelo ARIS, no entanto, as páginas falsas não podem ser
identificadas desta forma, pois a praga faz uso de um certificado
falso. O usuário vê um pequeno aviso ao entrar no site, mas, após isso,
o cadeado aparece normalmente na parte inferior do navegador, como
ocorre no site verdadeiro.
Como funciona a praga digital
Após ser executado, o cavalo de tróia altera o arquivo HOSTS do Windows,
adicionando o IP de um servidor controlado por criminosos, onde estão
hospedadas as páginas maliciosas, no arquivo. Neste ataque, o IP estava
alocado a um computador do Canadá. Quando o usuário acessa algum dos
sites-alvo, o computador é redirecionado para este servidor e, caso o
usuário prossiga com a tentativa de acesso ao banco, o mesmo enviará as
informações fornecidas pelo usuário aos golpistas.
Este golpe, que usa entradas no arquivo HOSTS, é conhecido como Banhost
e é bem comum, conforme já noticiado pela Linha Defensiva.
Com o trojan instalado, ao acessar uma das páginas redirecionadas pelo
trojan, especialmente aquelas onde há necessidade de preenchimento de
informações como senhas, o usuário é alertado sobre a falsidade do
certificado que o site está usando. Estes avisos, infelizmente, são
constantemente ignorados por usuários, pois mesmos sites legítimos os
exibem (geralmente um erro de configuração), e muitos internautas estão acostumados a clicar em “Sim” e “OK” em qualquer janela de aviso.
Nas conexões SSL é possível ver a entidade emissora do certificado,
dando um duplo clique sobre o cadeado no navegador. Nesse caso
específico, é possível ver que o emissor do certificado é um domínio
brasileiro que não tem nenhuma relação com as páginas visitadas.
Certificados digitais verdadeiros possuem o nome da entidade
certificadora, as mais comuns são VeriSign, Thawte, Equifax, Saphety,
Multicert, entre outras.
Domínio brasileiro envolvido
O domínio computing.com.br, citado no falso certificado, tem sido
amplamente utilizado para a distribuição de vírus dessa natureza desde
novembro do ano passado. O ARIS já recebeu várias cópias de mensagens
de phishing scam que levavam para links desse domínio.
Segundo o Registro.BR, órgão responsável pelo registro de domínios no
Brasil está registrado para uma empresa transportadora de cargas e
logística da cidade de Guarulhos/SP, também responsável pelo registro
de um dominio já congelado, reservasvoegol.com.br, que já foi usado
para distribuir vírus com o mesmo objetivo.
Após denúncias da Linha Defensiva ao Registro.BR sobre o fato desse
domínio estar sendo usado em golpes distribuindo virus, recebemos a
seguinte resposta:
Devido às atribuições dos serviços relativos à internet
no Brasil, o NIC.br/Registro.br é responsável apenas pelo registro do
nome de domínio e não detêm competência para realizar atos relacionados
ao conteúdo dos sites.
A equipe da Linha Defensiva notificou ao CERT.br, responsável pela
análises de incidentes de segurança no Brasil, que informou que
providências foram tomadas. No entanto, quase um mês e meio após a
denúncia inicial, o domínio - que é falso e não tem site legítimo
hospedado - continua no ar.
A remoção deste trojan é possível usando nossa ferramenta gratuita de remoção de Bankers, o BankerFix.
Postagens
Postar um comentário