Mais um trojan bancário consegue assinatura digital da Comodo

Em setembro, a Kaspersky divulgou a descoberta do primeiro trojan brasileiro com assinatura digital. O certificado foi emitido pela americana Comodo e a praga foi criada para roubar dados bancários. Agora, a mesma Comodo emitiu outro certificado válido para criadores de trojan, desta vez para uma suposta empresa chamada G&P Projetos e Sistemas Ltda.

Segundo a Linha Defensiva, a Comodo emitiu o certificado no dia 21 de agosto, com validade até 22 de agosto de 2013. O domínio da empresa G&P Projetos e Sistemas Ltda aponta para uma página padrão de um serviço de hospedagem de sites e registro de domínios. Os dados do domínio, que muito provavelmente são falsos, apontam para um endereço localizado na região central de São Paulo. Normalmente, para verificar a procedência de uma empresa, a autoridade certificadora liga para o número de telefone do cadastro, mas nem todas fazem isso.

A G&P Projetos e Sistemas Ltda também registrou outro domínio, o g-buster.org. O nome lembra o G-Buster Browser Defense, um plugin de segurança legítimo desenvolvido pela GAS Tecnologia e utilizado por empresas como o Banco do Brasil. Os trojans assinados digitalmente se instalam no sistema com nomes como GbPlugin-Módulo de Segurança.scr, na pasta C:\Windows\SysWow64.

O certificado fraudulento foi revogado assim que a Comodo ficou sabendo do problema, no dia 21 de novembro. Como o trojan era certificado digitalmente, ele passava uma sensação maior de confiabilidade ao usuário e alguns softwares antivírus confiam em arquivos assinados, fazendo com que a praga permaneça por mais tempo no computador da vítima.

A Comodo é uma autoridade certificadora que já teve problemas de segurança no passado. Ela emite assinaturas por preços bem baixos e há até certificados SSL gratuitos, o que pode facilitar a vida dos crackers. Em julho do ano passado, outra certificadora, a DigiNotar, teve seus servidores invadidos e emitiu centenas de certificados inválidos. Muitas empresas revogaram os certificados da DigiNotar na época e isso causou a falência da certificadora.

Atualização às 15h20: O leitor Rafael Gil publicou nos comentários o site da verdadeira G&P Projetos e Sistemas Ltda. O endereço da matriz de São Paulo coincide com os dados do certificado do trojan, logo, os criminosos provavelmente se aproveitaram da G&P para obter a assinatura digital da Comodo.

Receba mais notícias do Tecnoblog na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade