A Kaspersky Lab alerta: Você provavelmente já ouviu ou leu em algum artigo a famosa dica para sempre verificar a presença do cadeado de segurança em páginas de login. Pois saiba que você pode ser vítima de roubo de informações mesmo em páginas que o exibem. Essa é a mais nova forma dos cibercriminosos brasileiros roubarem usuários de internet banking.
Este ataque dispõe de muitas etapas – tudo para enganar a vítima e direcioná-la para uma página falsa de banco, instalando uma falsa Entidade Certificadora. Desta forma, o usuário verá uma página falsa, usando um certificado digital falso, porém com a presença do cadeado de segurança.
Não é a primeira vez que cibercriminosos brasileiros tentam roubar usuários de internet banking manipulando os certificados digitais – a Linha Defensiva registrou um caso parecido em 2008. Neste artigo vamos mostrar os detalhes de um ataque recente usando essa técnica.
Entenda os Certificados Digitais
Um certificado digital é usado em conexões seguras, quando o navegador exibe o “https” na barra de endereço. Esse tipo de conexão é chamada de SSL (”Secure Sockets Layer”). O objetivo é garantir que o site visitado seja realmente quem diz ser. Ou seja, ele busca impedir os criminosos de redirecionar os usuários para sites falsos, não controlados pelos verdadeiros donos do domínio. Outro objetivo é criptografar a transmissão dos dados inseridos durante as transações.
Para tal objetivo criou-se então as chamadas “Autoridades Certificadoras” (AC). O dono de um site, após criar o certificado, envia-o para uma AC, que por sua vez assina e garante sua validade. As ACs mais conhecidas hoje são a Thawte, Verisign, Equifax, Saphety, Multicert entre outras. É claro que, antes de autenticar o certificado, a AC deveria verificar se quem gerou aquele certificado é realmente o dono do site.
O navegador, por sua vez, inclui o certificado (chave pública) em um gerenciador do Windows e toda vez que um certificado legítimo, assinado e garantido por uma AC for enviado por um site, o navegador pode atestar sua veracidade com base nessa lista. Isso também garante que a autenticação dos certificados não dependa da internet, tornando-a mais segura.
O ataque
O que aconteceria se um código malicioso instalasse uma nova Autoridade Certificadora em seu sistema? E também instalasse certificados digitais falsos? Quem verificaria sua veracidade?
É exatamente essa técnica de ataque que está sendo explorada por trojans bancários brasileiros. Ao serem executados, eles instalam uma Autoridade de Certificação fajuta, programada para validar um certificado digital falso:
Assim, abre-se a possibilidade de instalação e uso de certificados falsos em seu sistema e é difícil perceber a diferença entre um certificado digital válido e um falso:
Nesse ataque um certificado digital falso é exibido como legítimo – justamente porque uma Autoridade Certificadora desonesta é instalada em seu sistema.
Passo-a-passo da infecção
Tudo começa com um applet Java malicioso inserido em um site popular – tratamos desse assunto no artigo “Visite seu site favorito e seja infectado”. Hoje a exploração de falhas do Java em ataques web tem sido o alvo preferido dos criminosos virtuais, inclusive no Brasil.
Basta o internauta usar uma versão desatualizada do Java Virtual Machine e visitar a página comprometida para ser infectado.
Ao se instalar na máquina do usuário, o applet malicioso efetua várias mudanças no sistema. A primeira delas é deletar o valor da chave no registro do Windows:
HKLM\SOFTWARE\JavaSoft\Java Update\Policy\NewJREVersion: "1.6.0_22-b04"
Essa chave tem a função de avisar ao usuário de que há uma nova versão do Java a ser instalada. Sem ela, o usuário não receberá o alerta de atualização do Java e continuará exposto a novos ataques.
Depois disso, o applet irá instalar um driver malicioso no sistema, chamado actusb.sys – que possui baixataxa de detecção pela maioria dos programas antivirus. Esse rootkit alterará o arquivo hosts do Windows, permitindo que o usuário seja direcionado para páginas falsas de bancos. Para atingir o maior número possível de vítimas, o applet também está programado para alterar o arquivo hosts em sistemas 64bits.
Ao ser instalado, o driver malicioso irá garantir ainda que as proteções instaladas pelo usuário sejam removidas na próxima inicialização do sistema, excluindo o plugin de segurança usado pelo serviço de internet banking.
Além do rootkit actusb.sys, o applet instalará também mais arquivos.
No arquivo add.reg há comandos para alterar as chaves de Registro no Windows onde serão instaladas a Autoridade Certificadora falsa, juntamente com quatro certificados digitais inválidos, referentes a dois bancos brasileiros.
Por fim, o applet adicionará o conteúdo do arquivo cert_override nas configurações do Firefox, para que o navegador aceite os certificados digitais falsos instalados no sistema.
Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa.
Como se proteger
A melhor proteção é evitar ao máximo a execução de conteúdo maliciosa no PC usado para acessar os serviços de internet banking, por isso:
•Tenha uma máquina para uso exclusivo de internet banking. Se não for possível, use uma conta de usuário limitado no lugar da conta de Administrador.
•Se não for possível ter uma máquina exclusiva, considere a possibilidade de usar uma máquina virtual para isso.
•Antivírus sempre atualizado.
•Ao encontrar qualquer detalhe suspeito ou desconhecido na página, pare a operação imediatamente e ligue para a central de atendimento do seu banco.
•Ao acessar o internet banking, na tela de login, dê um duplo clique sobre o cadeado de segurança e verifique os dados do certificado.
