Бразильские банковские троянцы – уже с цифровой подписью

Просто ли «плохим парням» купить действительные цифровые сертификаты у центров сертификации, предоставив фальшивые данные, и использовать эти сертификаты для подписи банковских троянцев?  Похоже, что в Бразилии это действительно не представляет труда.

Сегодня большинство разработчиков ПО подписывают программы цифровыми сертификатами. В процессе участвуют Центры сертификации, которые верифицируют подлинность файлов и выдают разработчикам сертификат.

Как известно, действительные или украденные цифровые сертификаты используются некоторыми вирусописателями для создания вредоносных файлов, которые могут в течение некоторого времени распознаваться как легитимные. И теперь бразильские киберпреступники начали использовать эту технологию в своих зловредах, пытаясь выиграть больше времени для их распространения. Недавно нами была обнаружена троянская банковская программа, подписанная действительным цифровым сертификатом Центра сертификации. Похоже, что для получения сертификата были использованы фальшивые данные.

Насколько просто для Центра сертификации проверить легитимность получаемых данных? Бразильские киберпреступники зарегистрировали домен gastecnology.org, скопировав название хорошо известной и авторитетной местной компании-разработчика ПО. Для регистрации домена использовались следующие данные:

Эти данные абсолютно фальшивые. Домен зарегистрирован с использованием бесплатного почтового сервиса (Yahoo), а по указанному адресу в красивейшем городе Витория (Vitória) располагается жилой дом:

Телефонный номер, использованный для регистрации домена, также является фальшивкой, и  зарегистрирован он не в Витории (где код города — 27), а в Пернамбуку (с кодом 81). Однако, даже использовав фальшивые данные при регистрации домена, киберпреступники успешно купили у Comodo цифровой сертификат, который был выпущен 28 мая и действовал до 29 мая 2015 года:

После этой несложной процедуры они начали подписывать свои троянцы:

После проведения кампании по массовой рассылке, в ходе которой бразильских пользователей интернет-банкинга просили установить «обновление», компьютеры некоторых пользователей были заражены.

Помимо цифровой подписи, в одном из троянцев использовался еще один трюк, часто применяемый вирусописателями: чтобы заставить пользователей поверить, что файл является легитимным, в описании файла упоминалась компания HP.

Цифровые сертификаты были аннулированы Comodo спустя 15 дней после выпуска после предупреждения от местной компании, занимающейся информационной безопасностью. Вредоносная программа детектируется «Лабораторией Касперского» как Trojan-Banker.Win32.Banbra.atfl.