Author Topic: Comodo avaliza assinatura digital de pragas brasileiras (de novo!)  (Read 2153 times)

0 Members and 1 Guest are viewing this topic.

Offline jefferson sant

  • Starting Graphoman
  • *
  • Posts: 6677
  • volunteer
Não é a primeira vez que isso acontece: cibercriminosos brasileiros registram um domínio com dados falsos e a partir dele compram certificados digitais junto à empresa americana Comodo. Com esses certificados criam trojans bancários assinados digitalmente, para assim permanecer mais tempo sem serem detectados na máquina das vítimas.
divulgado em agosta do ano passado esse primeiro incidente.

 Recentemente o pessoal do site Linha Defensiva encontrou outra leva de trojans assinados com certificados digitais válidos, obtidos de maneira ilegal, usando dados falsos de registro. Os trojans bancários trazem certificados digitais emitidos para uma suposta empresa chamada “G & P Projetos e Sistemas Ltda“, da cidade de São Paulo. O certificado foi emitido pela Comodo em 21 de agosto, com validade padrão de um ano.

Certificados emitidos para o trojan brasileiro:



O certificado referencia o domínio gpsistemas.net, cujo website exibe apenas uma página padrão usada por serviços de hospedagem:
 
Site da suposta empresa que registrou o malware:

Os dados do domínio gpsistemas.net seguem abaixo. Note que esses dados são falsos – mesmo que essa pessoa exista, é improvável que ela tenha qualquer conhecimento do golpe).
 
Informação de registro do GPSistemas.net:


Os mesmos dados foram usados para registrar o site “g-buster.org”, cujo endereço é uma alusão ao software de segurança usado por bancos.
 
Informações de registro do G-Buster.org:



Os trojans bancários assinados com esse certificado digital tentam enganar os usuários se passando por arquivos do GBPlugin, se instalando no sistema usando esses nomes:
 
c:\windows\SysWow64\GbPlugin-Módulo de Segurança.scr
 c:\windows\SysWow64\GbPlugin-Módulo de Segurança.com
 
É responsabilidade da Comodo, enquanto autoridade certificadora, verificar a veracidade do pedido antes de emitir um certificado digital. É importante deixar claro, no entanto, que a Comodo não tem acesso ao arquivo em si que foi assinado, apenas às informações de registro fornecidas.
 
A tática dos cibercriminosos é simples: arquivos assinados geralmente possuem em tese uma procedência confiável, é uma prática comum entre grandes empresas desenvolvedoras de software, e são confiados pelos programas antivírus. Com isso eles conseguem passar mais tempo sem serem percebidos por mecanismos de segurança.
 
Os certificados digitais emitidos foram revogados pelo Comodo no último dia 21 de novembro, depois de uma denúncia. A Linha Defensiva encaminhou os arquivos desse trojan para que as companhias antivírus adicionem detecção.
 A Linha Defensiva ainda aguarda resposta da Comodo para a emissão do primeiro certificado para um trojan bancário, em agosto. Não houve resposta da empresa para explicar o que houve (e continua acontecendo) para a emissão desses certificados.
 
Opinião do Seu micro seguro: definitivamente a Comodo não está sendo suficientemente rigorosa na emissão de certificados digitais, o que pode pode colocar em descrédito os certificados que ela própria emite. Tenho grande admiração pela Comodo como empresa desenvolvedora de soluções de segurança como o Comodo Internet Security, um referencial em termos de proteção e certamente uma das melhores suites do mercado.
 Mas ao mesmo tempo vejo com preocupação episódios como este desta notícia, e espero que tais fatos levem a Comodo a adotar medidas urgentes e efetivas para que nada disso volte mais a se repetir.