Falsos programas antivírus usam certificados de assinatura roubados
Um programa antivírus falso em circulação utiliza pelo menos uma dúzia de certificados de assinatura de código digital roubados - o que indica que os cibercriminosos estão cada vez mais violando as redes de desenvolvedores de software, de acordo com um post da Microsoft.
O aplicativo, chamado de como "Antivirus Security Pro", foi detectado pela primeira vez em 2009 e ganhou uma porção de outros nomes ao longo dos anos, de acordo com um comunicado liberado pela gigante, que o identificou como sendo o "Win32/Winwebsec".
Os certificados digitais emitidos por Autoridades Certificadoras (CAs) são usados por desenvolvedores para "assinar" softwares, que podem ser criptograficamente verificados para indicar se um programa não foi adulterado e origina do desenvolvedor que afirma tê-lo escrito.
Se um cracker obtém as credenciais de autenticação para usar um certificado, eles podem assinar os seus próprios programas - o que faz com que aplicações falsas pareçam ter vindo de um desenvolvedor legítimo.
As amostras do Antivirus Security Pro coletadas pela Microsoft usou certificados roubados emitidos "por diferentes CAs para desenvolvedores de software em vários locais ao redor do mundo", escreveu a empresa.
Os certificados foram liberados para desenvolvedores na Holanda, EUA, Rússia, Alemanha, Canadá e Reino Unido por CAs como a VeriSign, a Comodo, a Thawte e a DigiCert.
Usar certificados roubados não é uma tática nova, mas geralmente é considerado difícil de ser realizada, uma vez que crackers tem que invadir uma organização ou uma entidade responsáveis pela emição de tais certificados.
Um dos certificados foi emitido apenas três dias antes de a Microsoft coletar amostras do falso antivírus utilizando tal certificado, o que indica "que distribuidores do malware estão roubando regularmente novos certificados ao invés de usarem os de um estoque mais antigo."
A Microsoft identificou outro programa antivírus falso, chamado de "Win32/FakePAV", o qual também está utilizando certificados roubados.
O Win32/FakePAV recebeu mais de 30 outros nomes desde a sua detecção, em meados de 2010. O programa não usou quaisquer certificados de assinatura em seus primeiros dias.
O malware ficou inativo por mais de um ano até que novas amostras foramd escobertas recentemente - tais amostras utilizavam um certificado, que foi substituído por um mais recente poucos dias depois de identificadas. Ambos os certificados foram emitidos com o mesmo nome, mas por diferentes CAs, escreveu a Microsoft.
Para evitar problemas, os desenvolvedores de softwares devem ter o cuidado de proteger as chaves privadas usadas para assinatura de códigos em dispositivos de hardware armazenados com segurança como smart cards, tokens USB ou módulos de segurança de hardware. Se se acredita que um certificado tenha sido comprometido, um CAs pode revogá-lo.
"Não somente é inconveniente - mas muitas vezes caro - para se obter o certificado substituído, mas também pode resultar na perda de reputação da sua empresa, se ela for usada para assinar um malware", escreveu a empresa.