Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Malware se disfarça com certificado roubado

Share on linkedin
Share on twitter
Share on facebook

Malware usa certificado roubado em disfarceA FireEye, líder em deter ciber-ataques avançados (APTs), analisou o caso da assinatura digital da CZ Solution utilizada para enganar sistemas de proteção tradicionais. Invasores roubam certificados de assinatura digital rotineiramente. Estes certificados servem para manter agentes mal intencionados escondidos sob uma credencial legitima.
Recentemente, Trojans como Zeus usaram assinaturas autênticas para passar por defesas automáticas e humanas, com o intuito de roubar informações bancárias. Algumas amostras de malware chamaram a atenção da FireEye por causa da distribuição em massa de RATs (sigla em inglês para Ferramenta de Administração Remota) em uma região em particular. Também por causa do recente caso do malware XtremeRAT, publicado no blog da FireEye (em inglês) no inicio de 2014.
Os pesquisadores da FireEye encontraram um malware com assinatura digital enquanto investigavam um aumento nas campanhas de spam Spy-Net (um tipo de RAT). O Spy-Net permite ao invasor um grande controle da máquina da vítima via remote shell, com os recursos:
·         Realizar downloads e uploads
·         Alterar o registro
·         Acesso aos processos em execução e serviços
·         Capturar imagens da área de trabalho
·         Gravações de áudio e vídeo por meio da webcam
·         Extrair senhas salvas
·         Tornar a vítima um servidor Proxy
Variações do malware ainda são capazes de se defender de processos de segurança que o identificam e se desligando automaticamente.
O malware em questão estava utilizando uma assinatura válida de uma empresa chamada CZ Solution Co. Ltd. Em análise, pesquisadores da FireEye perceberam que todos os seus detalhes estavam intactos e pareciam ser válidos. A amostra testada, o arquivo sc2.exe, apresentou comportamentos típicos do Spy-Net. A partir disso, os pesquisadores começaram a testar a assinatura da CZ Solution por meio de pivotação.
Em meio aos testes, a FireEye encontrou particularidades que provaram que a assinatura da CZ Solution não estava sendo utilizada apenas em binários Spy-Net, mas também com XtremeRAT, usado regularmente por ciber criminosos. O XtremeRAT tem as mesmas funcionalidades do Spy-Net e seu código é compartilhado com muitos outros projetos de RAT, incluindo o CyberGate e o Cerberus.
Ainda, foram encontradas várias amostras do Trojan Zeus utilizando a assinatura da CZ Solution. O Zeus pode ser modificado para roubar informações que normalmente envolvem logins de redes sociais, e-mail e internet banking. O trojan é largamente usado para lesar clientes de instituições financeiras.
A partir das amostras analisadas, constatou-se que a assinatura da CZ Solution foi utilizada para criar e assinar os malwares Spy-Net, XtremeRAT, Zeus e outros. As similaridades entre as amostras continuam a crescer como demonstrado neste gráfico:Malware usa certificado roubado em disfarceAinda foram utilizados outros RAT sob a assinatura da CZ Solution como o BozokRAT. Com tantos binários se interligando, a FireEye começou a traçar paralelos entre as amostras descobrindo suas tendências como a sobreposição de C2 (C2 Overlap) e vetores de invasão como o phishing.

Em um dos casos o malware chegou por meio de e-mail phishing de um suposto pedido da Armani:

email-falsoO e-mail está em francês e os cabeçalhos foram identificados pela FireEye como um remetente usado em várias campanhas francesas de spam. O anexo no e-mail usa um truque para disfarçar um arquivo 7zip como um PDF contendo o malware.

Olhando para todas as amostras correlatadas e pivotadas, a FireEye notou que a maioria da linguagem e C2 usados giravam em torno do idioma francês. Os domínios que fazem parte da infra-estrutura C2 eram quase todos exclusivamente em francês, assim como as informações da pessoa que registrou os domínios em questão.

A conclusão tirada pelos técnicos da FireEye é de que uso de assinaturas não irá diminuir em breve – especialmente por agentes de ameaças. Estas assinaturas e certificados são uma maneira rápida e simples de passar por cima de controles tradicionais de segurança, visto que estes são considerados confiáveis por padrão. Os estudos publicados pela FireEye provam que o uso é uma tendência.

Os pesquisadores da FireEye podem dizer com segurança, baseados nas informações coletadas, que as assinaturas da CZ Solution foram utilizadas por um indivíduo ou um grupo usando infraestrutura e ativos franceses. Estes invasores em particular não mostraram um nível significante de expertise, mas mostraram recursos coletivos com conhecimento em pelo menos três malwares: Zeus, Spy-Net e XtremeRAT.

Para ajudar a proteger a sua empresa e outras contra ameaças usando assinaturas digitais válidas, você pode incluir a verificação do número de série da assinatura. Neste caso, o número de série: 6e 7b 63 95 ac 5b 5c 8a 2a ec c4 52 8d 9e 65 10 é o identificador para localizar a relação com este editor. Além disso, se você estiver executando sua própria certificação interna, garanta que certificados que podem ter sido comprometidos sejam revogados devidamente. Isso ajudará a garantir que certificados comprometidos não são utilizados em ataques.