Recentemente, após a divulgação da revogação de 3 milhões de Certificados SSL, que deixou donos de sites e gestores de TI em alerta, mais precisamente em 5 de março, pesquisadores da Kaspersky identificaram uma nova técnica de distribuição de malware que simula um alerta de segurança de SSL expirado.
Certificados SSL expirado?
Marcio D’Avila é Consultor Técnico e especialista em Segurança Digital da Certisign
A técnica de distribuição não é nova. Os cibercriminosos convidam vítimas para instalar uma nova versão de um navegador de internet ou uma atualização do sistema operacional. Neste caso, o site infectado mostra aos visitantes um falso alerta de segurança do navegador, informando que o Certificado SSL expirou, e são orientados a instalar uma atualização de segurança para prosseguir na navegação.
E o problema continua. Ao clicar no botão “Install (Recommended)“, o visitante inicia o download de um arquivo malicioso com o nome Certificate_Update_v02.2020.exe, que pode infectar a máquina com um malware do tipo backdoor, conhecidos como Mokes e Buerak.
Tipos de malware
Mokes
O Mokes é um backdoor para mac OS e Windows capaz de extrair diversos tipos de informação da máquina da vítima, incluindo dados, áudio, vídeo, bem como a captura da tela a cada 30 segundos e os registro do que foi digitado no teclado. Ele também instala um backdoor para persistência e usa a criptografia forte (AES-256) para disfarçar suas atividades.
Buerak
Já o Buerak é um Trojan baseado no Windows capaz de executar códigos, adulterar processos em execução, roubar conteúdo e se manter por meio de chaves do registro. Ele é capaz de danificar vários arquivos e aplicativos importantes do sistema operacional.
Fique seguro!
Por isso, sempre fique atento a mensagens que recomendem a instalação de aplicativos, como a solução para um problema. Estar a um clique de resolver um problema pode ser perigoso. E, claro, mantenha seu sistema operacional e o antivírus com as últimas atualizações do fabricante instaladas e navegue somente em sites seguros protegidos por um Certificado SSL válido.
Fonte:Certisign
