Ultimamente, ouvimos falar de muitos ataques de software malicioso nos quais os cibercriminosos assinam com certificados digitais vålidos, em um esforço para garantir que seu trabalho permaneça despercebido. Seus especialistas Symantec analisaram como os invasores conseguem roubar chaves privadas com seus malwares.
Especialistas explicam que Ă© quase impossĂvel para um hacker sem as ferramentas necessĂĄrias passar por um computador para verificar se ele possui chaves privadas de certificados digitais vĂĄlidos.
No entanto, o malware pode recuperar facilmente dados valiosos de um dispositivo infectado.
O mais comum malware usados ââpara este trabalho sĂŁo os seguintes
Backdoor.Beasty, Infostealer.Snifula, Downloader.Parshell, Trojan.Spyeye, W32.Cridex, W32.Qakbot, Infostealer.Shiz, Trojan.Carberp e Trojan.Zbot (também conhecido como ZeuS).
A maioria deles foi detectada em computadores nos Estados Unidos.
Mas como o malware extrai certificados digitais?
Normalmente, os certificados digitais sĂŁo armazenados no espaço de armazenamento especial do certificado do Windows. A partir daqui, eles podem ser extraĂdos usando funçÔes como PFXExportCertStoreEx. Para exportar uma chave privada, use a opção EXPORT_PRIVATE_KEYS.
Esse recurso extrai informaçÔes para um arquivo .Pfx, que geralmente é criptografado por criminosos cibernéticos.
A maioria dos malwares começa a roubar certificados digitais assim que o computador é iniciado, mas alguns deles aguardam o comando do invasor.
Depois de terem acesso às chaves privadas, os criminosos cibernéticos podem assinar seus projetos maliciosos usando programas gratuitos, como a Ferramenta de assinatura.
Para impedir o roubo de chaves privadas, as empresas precisam mantĂȘ-las em uma rede separada da rede interna da empresa. AlĂ©m disso, os desenvolvedores devem usar certificados de teste para novos aplicativos.
Geralmente, nĂŁo Ă© recomendĂĄvel que certificados digitais e chaves privadas sejam armazenados em computadores. Eles precisam ser bloqueados em um local seguro, como cartĂ”es IC, tokens USB ou hardware de segurança separado. Se isso nĂŁo for possĂvel, eles devem pelo menos ser arquivados e protegidos com uma senha forte.
Finalmente, os especialistas aconselham as empresas a evitar armazenĂĄ-las em mĂdia portĂĄtil, tanto quanto possĂvel.
