Oi! Escolha uma opção para entrar

Nunca postaremos nas suas redes sociais

Se preferir, entre com seu e-mail

Esqueceu sua senha?
Não tem conta? cadastre-se grátis

Preencha o formulário abaixo para finalizar seu cadastro:


Certificado clandestino: Trend Micro revela que 66% dos softwares disponíveis são maliciosos

Por Redação

em Segurança

8 meses atrás

Uso ilícito de code signing permite que hackers produzam assinaturas digitais

Via machine learning, a Trend Micro analisou três milhões de softwares baixados na Internet. A partir deste mapeamento, a empresa de segurança avaliou quais os riscos que o uso indevido de code signing representa para as empresas. O relatório Exploring the Long Tail of (Malicious) Software Download revela como os autores de malware produzem assinaturas digitais que espalham códigos infectados.

O code signing é uma assinatura criptográfica que permite a sistemas operacionais (como o Windows) uma maneira precisa e eficiente de diferenciar um aplicativo legítimo (como um software de instalação do Microsoft Office) de um software malicioso. Todos os sistemas operacionais e navegadores modernos verificam automaticamente as assinaturas por meio do conceito de uma cadeia de certificados.

Os certificados válidos são emitidos ou assinados por centrais autorizadas, que tem o backup garantido por outras centrais. No entanto, este mecanismo é baseado inteiramente no conceito de confiança. Teoricamente, “autoridades não confiáveis” não têm acesso aos certificados que são válidos. A análise, porém, provou o contrário.

Há mais softwares maliciosos certificados

Foi observado um grande número de softwares maliciosos assinados por autoridades certificadas que conseguiram desviar-se da validação. Há mais softwares maliciosos assinados (66%) do que legítimos (30,7%). Isto também acontece para malwares disponibilizados por meio de link direto, tais como navegadores (81% versus 32,1%).

A distribuição sugere uma tendência entre os operadores de malware: investir mais esforços na assinatura do malware que é executado primeiro em uma máquina alvo (como os droppers e os adware) ao invés de tipos mais agressivos de malware, que podem dominar um ambiente já comprometido. Isto faz sentido a partir de um ponto de vista comercial, já que o acesso para validar o code signing é caro e isso desafia os criminosos a usarem seu orçamento como parte da estratégia. Há casos notórios de code signing em larga escala.

Problemas na validação das solicitações de certificado

Um problema geral observado pela Trend Micro é que as Centrais Autorizadas falham em validar adequadamente as solicitações de certificados que recebem. Enquanto uma infraestrutura de chave pública (PKI) oferece três categorias de certificados, com duas delas (categorias 2 e 3) exigindo um extenso processo de verificação da organização ou empresa real solicitando o certificado, a Trend Micro encontrou certificados emitidos para organizações que foram facilmente ligadas ao cibercrime, como a distribuição de malware.

Origens dos certificados fraudulentos

As duas causas mais comuns dos certificados fraudulentos são as seguintes: certificados roubado de uma organização legítima onde ocorreu um comprometimento de sistema a partir de uma infecção de malware e certificados falsificados, em que as CAs emitem certificados para cibercriminosos que simulam ser de uma organização legítima. As técnicas de engenharia social são comumente utilizadas pelo criminoso.

Certificados fraudulentos vendidos na Deep Web

A Trend Micro descobriu ainda propagandas no mercado ilegal, como anúncios em fóruns e lojas na deep web, que vendem certificados falsificados. As propagandas no mercado ilegal mostram que os cibercriminosos sabem o quanto é útil o mecanismo de code signing nas campanhas de malware. Sendo assim, usuários e empresas devem avaliar cuidadosamente qualquer software instalado em seu sistema, além das precauções padrões, como atualização dos sistemas operacionais e implementação de soluções de cibersegurança.


Receba grátis as principais notícias do setor de TI

Newsletter por e-mail