Symantec Como o malware extrai certificados digitais

Ultimamente, ouvimos falar de muitos ataques de software malicioso nos quais os cibercriminosos assinam com certificados digitais vålidos, em um esforço para garantir que seu trabalho permaneça despercebido. Seus especialistas Symantec analisaram como os invasores conseguem roubar chaves privadas com seus malwares.

Especialistas explicam que Ă© quase impossĂ­vel para um hacker sem as ferramentas necessĂĄrias passar por um computador para verificar se ele possui chaves privadas de certificados digitais vĂĄlidos.

No entanto, o malware pode recuperar facilmente dados valiosos de um dispositivo infectado.

O mais comum malware usados ​​para este trabalho são os seguintes

Backdoor.Beasty, Infostealer.Snifula, Downloader.Parshell, Trojan.Spyeye, W32.Cridex, W32.Qakbot, Infostealer.Shiz, Trojan.Carberp e Trojan.Zbot (também conhecido como ZeuS).

A maioria deles foi detectada em computadores nos Estados Unidos.

Mas como o malware extrai certificados digitais?

Normalmente, os certificados digitais são armazenados no espaço de armazenamento especial do certificado do Windows. A partir daqui, eles podem ser extraídos usando funçÔes como PFXExportCertStoreEx. Para exportar uma chave privada, use a opção EXPORT_PRIVATE_KEYS.

Esse recurso extrai informaçÔes para um arquivo .Pfx, que geralmente é criptografado por criminosos cibernéticos.

A maioria dos malwares começa a roubar certificados digitais assim que o computador é iniciado, mas alguns deles aguardam o comando do invasor.

Depois de terem acesso às chaves privadas, os criminosos cibernéticos podem assinar seus projetos maliciosos usando programas gratuitos, como a Ferramenta de assinatura.

Para impedir o roubo de chaves privadas, as empresas precisam mantĂȘ-las em uma rede separada da rede interna da empresa. AlĂ©m disso, os desenvolvedores devem usar certificados de teste para novos aplicativos.

Ponto de extremidade da Symantec

Geralmente, não é recomendåvel que certificados digitais e chaves privadas sejam armazenados em computadores. Eles precisam ser bloqueados em um local seguro, como cartÔes IC, tokens USB ou hardware de segurança separado. Se isso não for possível, eles devem pelo menos ser arquivados e protegidos com uma senha forte.

Finalmente, os especialistas aconselham as empresas a evitar armazenĂĄ-las em mĂ­dia portĂĄtil, tanto quanto possĂ­vel.