Symantec Como o malware extrai certificados digitais

Ultimamente, ouvimos falar de muitos ataques de software malicioso nos quais os cibercriminosos assinam com certificados digitais válidos, em um esforço para garantir que seu trabalho permaneça despercebido. Seus especialistas Symantec analisaram como os invasores conseguem roubar chaves privadas com seus malwares.

Especialistas explicam que é quase impossível para um hacker sem as ferramentas necessárias passar por um computador para verificar se ele possui chaves privadas de certificados digitais válidos.

No entanto, o malware pode recuperar facilmente dados valiosos de um dispositivo infectado.

O mais comum malware usados ​​para este trabalho são os seguintes

Backdoor.Beasty, Infostealer.Snifula, Downloader.Parshell, Trojan.Spyeye, W32.Cridex, W32.Qakbot, Infostealer.Shiz, Trojan.Carberp e Trojan.Zbot (também conhecido como ZeuS).

A maioria deles foi detectada em computadores nos Estados Unidos.

Mas como o malware extrai certificados digitais?

Normalmente, os certificados digitais são armazenados no espaço de armazenamento especial do certificado do Windows. A partir daqui, eles podem ser extraídos usando funções como PFXExportCertStoreEx. Para exportar uma chave privada, use a opção EXPORT_PRIVATE_KEYS.

Esse recurso extrai informações para um arquivo .Pfx, que geralmente é criptografado por criminosos cibernéticos.

A maioria dos malwares começa a roubar certificados digitais assim que o computador é iniciado, mas alguns deles aguardam o comando do invasor.

Depois de terem acesso às chaves privadas, os criminosos cibernéticos podem assinar seus projetos maliciosos usando programas gratuitos, como a Ferramenta de assinatura.

Para impedir o roubo de chaves privadas, as empresas precisam mantê-las em uma rede separada da rede interna da empresa. Além disso, os desenvolvedores devem usar certificados de teste para novos aplicativos.

Ponto de extremidade da Symantec

Geralmente, não é recomendável que certificados digitais e chaves privadas sejam armazenados em computadores. Eles precisam ser bloqueados em um local seguro, como cartões IC, tokens USB ou hardware de segurança separado. Se isso não for possível, eles devem pelo menos ser arquivados e protegidos com uma senha forte.

Finalmente, os especialistas aconselham as empresas a evitar armazená-las em mídia portátil, tanto quanto possível.