Início » Antivírus e Segurança » Mais um trojan bancário consegue assinatura digital da Comodo

Mais um trojan bancário consegue assinatura digital da Comodo

Comodo emitiu certificado para criadores de trojan

Paulo Higa Por

Em setembro, a Kaspersky divulgou a descoberta do primeiro trojan brasileiro com assinatura digital. O certificado foi emitido pela americana Comodo e a praga foi criada para roubar dados bancários. Agora, a mesma Comodo emitiu outro certificado válido para criadores de trojan, desta vez para uma suposta empresa chamada G&P Projetos e Sistemas Ltda.

Segundo a Linha Defensiva, a Comodo emitiu o certificado no dia 21 de agosto, com validade até 22 de agosto de 2013. O domínio da empresa G&P Projetos e Sistemas Ltda aponta para uma página padrão de um serviço de hospedagem de sites e registro de domínios. Os dados do domínio, que muito provavelmente são falsos, apontam para um endereço localizado na região central de São Paulo. Normalmente, para verificar a procedência de uma empresa, a autoridade certificadora liga para o número de telefone do cadastro, mas nem todas fazem isso.

Certificado digital emitido pela Comodo foi usado para assinar trojan bancário

A G&P Projetos e Sistemas Ltda também registrou outro domínio, o g-buster.org. O nome lembra o G-Buster Browser Defense, um plugin de segurança legítimo desenvolvido pela GAS Tecnologia e utilizado por empresas como o Banco do Brasil. Os trojans assinados digitalmente se instalam no sistema com nomes como GbPlugin-Módulo de Segurança.scr, na pasta C:\Windows\SysWow64.

O certificado fraudulento foi revogado assim que a Comodo ficou sabendo do problema, no dia 21 de novembro. Como o trojan era certificado digitalmente, ele passava uma sensação maior de confiabilidade ao usuário e alguns softwares antivírus confiam em arquivos assinados, fazendo com que a praga permaneça por mais tempo no computador da vítima.

A Comodo é uma autoridade certificadora que já teve problemas de segurança no passado. Ela emite assinaturas por preços bem baixos e há até certificados SSL gratuitos, o que pode facilitar a vida dos crackers. Em julho do ano passado, outra certificadora, a DigiNotar, teve seus servidores invadidos e emitiu centenas de certificados inválidos. Muitas empresas revogaram os certificados da DigiNotar na época e isso causou a falência da certificadora.

Atualização às 15h20: O leitor Rafael Gil publicou nos comentários o site da verdadeira G&P Projetos e Sistemas Ltda. O endereço da matriz de São Paulo coincide com os dados do certificado do trojan, logo, os criminosos provavelmente se aproveitaram da G&P para obter a assinatura digital da Comodo.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

fabio.gonnelli
Reitero o comentário do senhor Rafael Gil sobre as considerações postadas acima. A G&P Projetos e Sistemas Ltda NADA TEM A VER com o desenvolvimento, publicação ou cooperação no desenvolvimento de nenhum tipo de Cyber ameaça.
Djalmir Messias
Quer dizer que aquela história de confiar no cadeadinho também não serve pra nada? Desse jeito vamos voltar ao escambo!
Alex Ribeiro
Pelo visto o velho hábito das empresas de hosting nacionais de oferecerem a "cortesia" do registro de domínios continua em voga.
Rafael Gil
A G&P existe, eu já trabalhei lá: http://www.gpnet.com.br/, não é uma "suposta" empresa. (ou eu não entendi o que o autor quis dizer, rsrs)