A Kaspersky Lab alerta: Você provavelmente já ouviu ou leu em algum artigo a famosa dica para sempre verificar a presença do cadeado de segurança em páginas de login. Pois saiba que você pode ser vítima de roubo de informações mesmo em páginas que o exibem. Essa é a mais nova forma dos cibercriminosos brasileiros roubarem usuários de internet banking.

Este ataque dispõe de muitas etapas – tudo para enganar a vítima e direcioná-la para uma página falsa de banco, instalando uma falsa Entidade Certificadora. Desta forma, o usuário verá uma página falsa, usando um certificado digital falso, porém com a presença do cadeado de segurança.

Não é a primeira vez que cibercriminosos brasileiros tentam roubar usuários de internet banking manipulando os certificados digitais – a Linha Defensiva registrou um [Somente usuários registrados podem vem os links. ] em 2008. Neste artigo vamos mostrar os detalhes de um ataque recente usando essa técnica.


Entenda os Certificados Digitais

Um certificado digital é usado em conexões seguras, quando o navegador exibe o “https” na barra de endereço. Esse tipo de conexão é chamada de SSL (”Secure Sockets Layer”). O objetivo é garantir que o site visitado seja realmente quem diz ser. Ou seja, ele busca impedir os criminosos de redirecionar os usuários para sites falsos, não controlados pelos verdadeiros donos do domínio. Outro objetivo é criptografar a transmissão dos dados inseridos durante as transações.

Para tal objetivo criou-se então as chamadas “Autoridades Certificadoras” (AC). O dono de um site, após criar o certificado, envia-o para uma AC, que por sua vez assina e garante sua validade. As ACs mais conhecidas hoje são a Thawte, Verisign, Equifax, Saphety, Multicert entre outras. É claro que, antes de autenticar o certificado, a AC deveria verificar se quem gerou aquele certificado é realmente o dono do site.

O navegador, por sua vez, inclui o certificado (chave pública) em um gerenciador do Windows e toda vez que um certificado legítimo, assinado e garantido por uma AC for en***** por um site, o navegador pode atestar sua veracidade com base nessa lista. Isso também garante que a autenticação dos certificados não dependa da internet, tornando-a mais segura.


O ataque

O que aconteceria se um código malicioso instalasse uma nova Autoridade Certificadora em seu sistema? E também instalasse certificados digitais falsos? Quem verificaria sua veracidade?

É exatamente essa técnica de ataque que está sendo explorada por trojans bancários brasileiros. Ao serem executados, eles instalam uma Autoridade de Certificação fajuta, programada para validar um certificado digital falso:




Assim, abre-se a possibilidade de instalação e uso de certificados falsos em seu sistema e é difícil perceber a diferença entre um certificado digital válido e um falso:




Nesse ataque um certificado digital falso é exibido como legítimo – justamente porque uma Autoridade Certificadora desonesta é instalada em seu sistema.


Passo-a-passo da infecção

Tudo começa com um applet Java malicioso inserido em um site popular – tratamos desse assunto no artigo “[Somente usuários registrados podem vem os links. ]”. Hoje a exploração de falhas do Java em ataques web [Somente usuários registrados podem vem os links. ], inclusive no Brasil.

Basta o internauta usar uma versão desatualizada do Java Virtual Machine e visitar a página comprometida para ser infectado.

Ao se instalar na máquina do usuário, o applet malicioso efetua várias mudanças no sistema. A primeira delas é deletar o valor da chave no registro do Windows:


NOTA
HKLM\SOFTWARE\JavaSoft\Java Update\Policy\NewJREVersion: "1.6.0_22-b04"


Essa chave tem a função de avisar ao usuário de que há uma nova versão do Java a ser instalada. Sem ela, o usuário não receberá o alerta de atualização do Java e continuará exposto a novos ataques.

Depois disso, o applet irá instalar um driver malicioso no sistema, chamado actusb.sys – que [Somente usuários registrados podem vem os links. ] pela maioria dos programas antivirus. Esse [Somente usuários registrados podem vem os links. ] alterará o arquivo [Somente usuários registrados podem vem os links. ] do Windows, permitindo que o usuário seja direcionado para páginas falsas de bancos. Para atingir o maior número possível de vítimas, o applet também está programado para alterar o arquivo hosts em sistemas 64bits.




Ao ser instalado, o driver malicioso irá garantir ainda que as proteções instaladas pelo usuário sejam removidas na próxima inicialização do sistema, excluindo o plugin de segurança usado pelo serviço de internet banking.




Além do rootkit actusb.sys, o applet instalará também mais arquivos.




No arquivo add.reg há comandos para alterar as chaves de Registro no Windows onde serão instaladas a Autoridade Certificadora falsa, juntamente com quatro certificados digitais inválidos, referentes a dois bancos brasileiros.

Por fim, o applet adicionará o conteúdo do arquivo cert_override nas configurações do Firefox, para que o navegador aceite os certificados digitais falsos instalados no sistema.




Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa.




Como se proteger

A melhor proteção é evitar ao máximo a execução de conteúdo maliciosa no PC usado para acessar os serviços de internet banking, por isso:

* Tenha uma máquina para uso exclusivo de internet banking. Se não for possível, use uma conta de usuário limitado no lugar da conta de Administrador.
* Se não for possível ter uma máquina exclusiva, considere a possibilidade de usar uma máquina virtual para isso.
* Antivírus sempre atualizado.
* Ao encontrar qualquer detalhe suspeito ou desconhecido na página, pare a operação imediatamente e ligue para a central de atendimento do seu banco.
* Ao acessar o internet banking, na tela de login, dê um duplo clique sobre o cadeado de segurança e verifique os dados do certificado.

Fonte: The Jeffrey Group.