A Kaspersky Lab alerta: Você provavelmente já ouviu ou leu em algum artigo a famosa dica para sempre verificar a presença do cadeado de segurança em páginas de login. Pois saiba que você pode ser vítima de roubo de informações mesmo em páginas que o exibem. Essa é a mais nova forma dos cibercriminosos brasileiros roubarem usuários de internet banking. Este ataque dispõe de muitas etapas – tudo para enganar a vítima e direcioná-la para uma página falsa de banco, instalando uma falsa Entidade Certificadora. Desta forma, o usuário verá uma página falsa, usando um certificado digital falso, porém com a presença do cadeado de segurança. Não é a primeira vez que cibercriminosos brasileiros tentam roubar usuários de internet banking manipulando os certificados digitais – a Linha Defensiva registrou um [Somente usuários registrados podem vem os links. ] em 2008. Neste artigo vamos mostrar os detalhes de um ataque recente usando essa técnica. Entenda os Certificados Digitais Um certificado digital é usado em conexões seguras, quando o navegador exibe o “https” na barra de endereço. Esse tipo de conexão é chamada de SSL (”Secure Sockets Layer”). O objetivo é garantir que o site visitado seja realmente quem diz ser. Ou seja, ele busca impedir os criminosos de redirecionar os usuários para sites falsos, não controlados pelos verdadeiros donos do domínio. Outro objetivo é criptografar a transmissão dos dados inseridos durante as transações. Para tal objetivo criou-se então as chamadas “Autoridades Certificadoras” (AC). O dono de um site, após criar o certificado, envia-o para uma AC, que por sua vez assina e garante sua validade. As ACs mais conhecidas hoje são a Thawte, Verisign, Equifax, Saphety, Multicert entre outras. É claro que, antes de autenticar o certificado, a AC deveria verificar se quem gerou aquele certificado é realmente o dono do site. O navegador, por sua vez, inclui o certificado (chave pública) em um gerenciador do Windows e toda vez que um certificado legítimo, assinado e garantido por uma AC for en***** por um site, o navegador pode atestar sua veracidade com base nessa lista. Isso também garante que a autenticação dos certificados não dependa da internet, tornando-a mais segura. O ataque O que aconteceria se um código malicioso instalasse uma nova Autoridade Certificadora em seu sistema? E também instalasse certificados digitais falsos? Quem verificaria sua veracidade? É exatamente essa técnica de ataque que está sendo explorada por trojans bancários brasileiros. Ao serem executados, eles instalam uma Autoridade de Certificação fajuta, programada para validar um certificado digital falso: Assim, abre-se a possibilidade de instalação e uso de certificados falsos em seu sistema e é difícil perceber a diferença entre um certificado digital válido e um falso: Nesse ataque um certificado digital falso é exibido como legítimo – justamente porque uma Autoridade Certificadora desonesta é instalada em seu sistema. Passo-a-passo da infecção Tudo começa com um applet Java malicioso inserido em um site popular – tratamos desse assunto no artigo “[Somente usuários registrados podem vem os links. ]”. Hoje a exploração de falhas do Java em ataques web [Somente usuários registrados podem vem os links. ], inclusive no Brasil. Basta o internauta usar uma versão desatualizada do Java Virtual Machine e visitar a página comprometida para ser infectado. Ao se instalar na máquina do usuário, o applet malicioso efetua várias mudanças no sistema. A primeira delas é deletar o valor da chave no registro do Windows: NOTA HKLM\SOFTWARE\JavaSoft\Java Update\Policy\NewJREVersion: "1.6.0_22-b04" Essa chave tem a função de avisar ao usuário de que há uma nova versão do Java a ser instalada. Sem ela, o usuário não receberá o alerta de atualização do Java e continuará exposto a novos ataques. Depois disso, o applet irá instalar um driver malicioso no sistema, chamado actusb.sys – que [Somente usuários registrados podem vem os links. ] pela maioria dos programas antivirus. Esse [Somente usuários registrados podem vem os links. ] alterará o arquivo [Somente usuários registrados podem vem os links. ] do Windows, permitindo que o usuário seja direcionado para páginas falsas de bancos. Para atingir o maior número possível de vítimas, o applet também está programado para alterar o arquivo hosts em sistemas 64bits. Ao ser instalado, o driver malicioso irá garantir ainda que as proteções instaladas pelo usuário sejam removidas na próxima inicialização do sistema, excluindo o plugin de segurança usado pelo serviço de internet banking. Além do rootkit actusb.sys, o applet instalará também mais arquivos. No arquivo add.reg há comandos para alterar as chaves de Registro no Windows onde serão instaladas a Autoridade Certificadora falsa, juntamente com quatro certificados digitais inválidos, referentes a dois bancos brasileiros. Por fim, o applet adicionará o conteúdo do arquivo cert_override nas configurações do Firefox, para que o navegador aceite os certificados digitais falsos instalados no sistema. Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa. Como se proteger A melhor proteção é evitar ao máximo a execução de conteúdo maliciosa no PC usado para acessar os serviços de internet banking, por isso: * Tenha uma máquina para uso exclusivo de internet banking. Se não for possível, use uma conta de usuário limitado no lugar da conta de Administrador. * Se não for possível ter uma máquina exclusiva, considere a possibilidade de usar uma máquina virtual para isso. * Antivírus sempre atualizado. * Ao encontrar qualquer detalhe suspeito ou desconhecido na página, pare a operação imediatamente e ligue para a central de atendimento do seu banco. * Ao acessar o internet banking, na tela de login, dê um duplo clique sobre o cadeado de segurança e verifique os dados do certificado. Fonte: The Jeffrey Group.
Hidden Content Hidden Content - Sou melhor do que as pessoas pensam e pior do que elas imaginam ...
Há 1 usuários navegando neste tópico. (0 registrados e 1 visitantes)
Regras do Fórum