Vírus brasileiro falsifica ‘cadeado de segurança’ para roubar senhas

Segurança Código sofisticado também apaga programas de proteção.

Ataque usa um applet Java para infectar o sistema.

Um “mandamento” frequentemente repetido sugere que usuários verifiquem a presença do cadeado de segurança no navegador web. O cadeado serve para confirmar que o site que se está visitando é o site verdadeiro – o que está na barra de endereços – e que a comunicação é segura. Mas pragas digitais conseguem “falsificar” o cadeado. A coluna Segurança para o PC explica como isso acontece.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Um vírus capaz de realizar a façanha de falsificação do cadeado foi recentemente encontrado por Fabio Assolini, pesquisador antivírus brasileiro da fabricante russa Kaspersky Lab. Assolini investigou a praga e verificou que ela instala uma “autoridade certificadora” (AC, ou CA, na sigla em inglês) no Windows.

O “cadeado de segurança” que aparece nos navegadores web é um certificado SSL. O certificado diz ao navegador como ele deve embaralhar a informação para impedir que ela seja decodificada, caso alguém consiga interceptá-la. Nesse mesmo processo, o certificado precisa informar qual é seu dono, autenticando o site e informando ao usuário que esse é mesmo o site legítimo – pois não devem existir dois certificados para o mesmo site.

O navegador (seja ele o Internet Explorer, o Firefox, o Chrome, Opera, Safari ou outros) confia nessa informação porque o certificado é assinado por uma autoridade certificadora, que funciona como um “cartório digital”. Cada certificado precisa ser “carimbado” por uma autoridade certificadora e o navegador web traz consigo meios de reconhecer os carimbos dados pelos “cartórios” em que ele confia.

Se o certificado não tiver um “carimbo” dessas organizações, o navegador exibirá um erro apontando os problemas encontrados no certificado.

Em um ataque de phishing – em que o internauta recebe um e-mail falso em nome do banco que imediatamente solicita as informações –, o criminoso não tem o controle sobre o computador da vítima. No entanto, quando o usuário instala um vírus no PC, as possibilidades de ataque são mais variadas.

06-falsossl-620

Nos detalhes do certificado, o campo ‘emitido por’ é diferente do certificado original.
(Foto: Reprodução/Kaspersky)

A praga identificada pela Kaspersky redireciona os sites de bancos por meio do arquivo hosts, cujo funcionamento foi explicado por essa coluna anteriormente. O “problema”, para o criminoso, é que o site falso terá exatamente o mesmo endereço do site do banco e, por isso, não irá exibir um certificado – e não é possível obter um certificado para um site que já tem um certificado emitido (as autoridades certificadoras devem conversar entre si para não assinarem dois certificados idênticos). Os criminosos arranjam outro jeito: o vírus adiciona um novo “cartório confiável” na lista dos navegadores. Com isso, os criminosos podem carimbar certificados para qualquer site e o navegador irá ver que a assinatura é de uma autoridade confiável, mostrando o cadeado e nenhuma mensagem de alerta.

“Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa”, escreveu o especialista da Kaspersky.

Infecção e remoção de programas de segurança
A Kaspersky identificou que a praga usa applets Java para se instalar no sistema. Nesse ataque, mais sofisticado, o internauta visita uma página e é imediatamente infectado caso a versão do Java esteja vulnerável. Após a infecção, o vírus apaga uma chave no registro que avisa o usuário a respeito de atualizações do Java, garantindo que a versão vulnerável permaneça instalada.

06-certificados-300

Lista de certificados instalados no sistema.
Vírus precisa adicionar servidor do criminoso
a esta lista. (Foto: Reprodução)

Em seguida, o vírus instala um driver de sistema com o intuito de garantir a resistência da infecção. Drivers são programas especiais que rodam com privilégios elevados, normalmente usados para permitir que o sistema “converse” corretamente com periféricos (hardware). O driver malicioso tem o intuito de impedir que o vírus seja removido enquanto apaga os softwares de segurança usados pelos bancos.

Finalmente, a praga instala a autoridade certificadora falsa e um arquivo hosts que irá redirecionar os sites de bancos para sites idênticos controlados pelos criminosos. Com isso, o vírus dispensa a criação de janelas falsas ou captura de teclas (keylogging). Afinal, o usuário estará visitando o site “verdadeiro” (inclusive com o cadeado de segurança), mas com o criminoso como ponte entre as duas pontas da conexão, garantindo o roubo dos dados.

Vale ressaltar que essa não é uma vulnerabilidade no protocolo de segurança dos cadeados. Uma vez infectados, computadores não podem mais ser confiados – e isso inclui o cadeado. A Kaspersky recomenda que um computador exclusivo seja usado para acesso ao internet banking quando possível, demonstrando a dificuldade em detectar esse tipo de ataque. Fora isso, a única possibilidade é verificando manualmente o certificado – coisa que poucos usuários fazem ou mesmo saberiam fazer.

Assolini também recomenda que usuários falem com o banco no caso de suspeita de irregularidades na página e, claro que um antivírus atualizado seja usado.

A lição que fica é a de que está cada vez mais difícil combater ataques depois que eles já tiveram início. O melhor a se fazer é ficar prevenido: atualizando o navegador, sistema e plugins e desconfiando de links maliciosos em e-mails.

Fonte: Altieres Rohr

Anúncios

Tags:

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: