Falha do Bradesco expôs assinatura digital para malwares que burlam antivírus

O Bradesco teria falhado em atualizar um software oficial do banco, baseado em Mozilla Firefox, conhecido como Navegador Exclusivo Bradesco. Por conta disso, o executável assinado digitalmente pela empresa foi supostamente roubado por cibercriminosos — que estão carregando um trojan bancário que burla programas antivírus em computadores, segundo pesquisadores de segurança.

O TecMundo entrou em contato com o Bradesco para esclarecimentos. O banco afirma que o Navegador Exclusivo Bradesco foi descontinuado e não está mais disponível para uso — não recebemos uma resposta sobre datas de encerramento; a redação conseguiu acessar a página de download no último final de semana, mas desde terça-feira (02) ela se encontra fora do ar. O posicionamento na íntegra pode ser checado abaixo.

No dia 29 de janeiro, o pesquisador de ameaças “Johnk3r”, vulgo no X, alertou seus seguidores na rede social com a seguinte mensagem: “Um aplicativo bancário legítimo está literalmente carregando um trojan bancário. Incomum, mas inteligente”. Ao lado da mensagem, imagens indicavam que app em questão seria do Bradesco, especificamente o browser Navegador Exclusivo Bradesco.

Navegadores baseados na mesma tecnologia do Mozilla Firefox usam o Gecko como mecanismo de renderização web

O TecMundo buscou contato com o vulgo “Johnk3r” (Jonker), que não respondeu. Ainda assim, aos seus seguidores, ele resumiu o que pode ser feito por cibercriminosos: “Essa atividade faz parte de uma campanha maliciosa (phishing) na qual os atacantes exploram intencionalmente um comportamento normal do sistema Windows para executar código malicioso, aproveitando-se de um aplicativo bancário legítimo”.

• O Indicador de Comprometimento (IoC) que traz evidências técnicas sobre a falha, conhecida como DLL Side-Loading, pode ser acompanhado neste link.

Em 02 de fevereiro, quatro dias após o referido contato, o TecMundo recebeu um email anônimo assinado pelo vulgo “j0k3k” (Jokek) explicando toda a falha e os problemas envolvidos com a exposição da assinatura digital.

• O que é Trojan Bancário: tipo de malware que se disfarça de software legítimo para infectar computadores ou celulares e roubar dados financeiros.

Na troca de mensagens, a fonte não revelou se havia conhecimento privilegiado na questão por proximidade.

“Tudo começou quando eu estava analisando campanhas de malware brasileiras e encontrei algo estranho: um executável assinado digitalmente pelo Banco Bradesco que estava carregando um trojan bancário”, escreveu “j0k3k”. “Achei tão bizarro, como assim um software oficial de banco distribuindo vírus? Fui investigar e descobrir o que estava acontecendo”.

O Navegador Exclusivo Bradesco, como nota a fonte anônima, é voltado para clientes corporativos e de alta renda. Ele funcionava como um método “mais seguro” para acessar o Internet Banking.

Seu desenvolvimento foi feito em Mozilla Firefox. Segundo a fonte, a última atualização do sistema foi realizada em 2016 e, neste ponto, reside o problema.

A Mozilla descobriu em 2017 uma falha, que já recebeu patch oficial, mas impacta sistemas desatualizados. A vulnerabilidade permitia que agentes maliciosos carregassem arquivos auxiliares (DDLs) sem verificar se eram legítimos. 

Isso significa que era possível incluir no sistema de pastas do software um vírus, com nomes e assinatura oficiais. Por ser oficial, programas antivírus não alertam ao usuário do computador sobre uma possível ameaça.

“Quando o Bradesco assina digitalmente um software, é como se dissesse para todos os antivírus do mundo: ‘Pode confiar, isso é nosso’”, escreveu “j0k3k”. “Os criminosos perceberam isso. Eles pegam o navegador oficial do banco, colocam o vírus do lado, e quando a vítima executa, o malware roda com a ‘benção’ do Bradesco. O antivírus vê a assinatura digital do banco e deixa passar”.

De modo mais claro e resumido, “é como se alguém conseguisse um crachá oficial de funcionário do banco. Com esse crachá, a pessoa entra em qualquer agência, passa por todas as catracas e ninguém desconfia. O crachá é verdadeiro, só o funcionário que é falso”, explica.

Posicionamento do Bradesco na íntegra

"O Navegador Exclusivo Bradesco foi descontinuado e não está mais disponível para uso. A orientação atual aos clientes é acessar os canais oficiais do banco por meio dos navegadores padrão de mercado ou pelos dispositivos móveis. 

O Bradesco reforça que todas as medidas de proteção foram adotadas, seguindo procedimentos de segurança que garantem a preservação das informações dos clientes. Não houve qualquer registro de prejuízo ou impacto para os usuários."

Empresa de cibersegurança explica o que é DLL Side-Loading

O TecMundo consultou Daniel Cunha Barbosa, que é pesquisador de segurança da ESET Brasil, para explicar o que pode ser visto nas imagens da matéria — e o que é DLL Side-Loading.

“A imagem indica a presença de um ataque denominado DLL Side Loading, que consiste em fazer com que um software legítimo utilize uma DLL maliciosa ao invés do DLL de sistema que ele havia previsto”, explica Daniel.

“Como é um software legítimo realizando o carregamento de uma DLL com conteúdo malicioso, a carga do malware ganha uma camada adicional de evasão de defesas que pode resultar nos softwares de proteção do sistema sendo desabilitados, permitindo uma execução mais ampla dos recursos previstos para a ameaça”, finaliza.

Informações sobre os cibercriminosos envolvidos

Na mensagem enviada pela fonte secundária, “j0k3k”, que provavelmente também é um pesquisador de ameaças, há um relato sobre o cenário do cibercrime que se vale deste tipo de ataque que explora DLLs.

A fonte “j0k3k” revela que acompanha o mesmo grupo criminoso há pelo menos seis meses e que eles criaram oito domínios falsos envolvendo nomes de marcas como Mercado Bitcoin, Itaú e Santander.

É necessário notar que os domínios falsos não têm relação com a falha citada na matéria. Sites fraudulentos fazem parte de golpes de phishing para fisgar vítimas pela internet via mensagens urgentes ou infecção de malware com overlay — sobreposição de página. Porém, estes domínios podem ser usados para disparar o malware assinado digitalmente.

“As vítimas geralmente são pessoas que baixam ‘ativadores de Windows’ piratas ou outros softwares piratas. O vírus vem disfarçado nisso. Para funcionar, a vítima precisa cair primeiro em uma engenharia social para executar o arquivo assinado pelo Bradesco”, adiciona.

Como estancar o problema

Para explicar como o modus operandi criminoso pode ser resolvido facilmente, a fonte comenta que “mesmo fora do ar, o problema não acaba”.

“A assinatura digital não tem ‘prazo de validade’ porque foi feita com um carimbo de tempo (timestamp) que congela aquele momento. É como um documento autenticado em cartório: mesmo que o cartório feche, o documento continua válido”, explica. “O arquivo pode ser baixado, copiado, compartilhado em fóruns de cibercrime. A partir de agora, qualquer criminoso, brasileiro, russo, chinês, de qualquer lugar, pode usar esse executável para instalar vírus em computadores, sem que a vítima precise ter o navegador do banco instalado”.

Por isso, é importante que usuários de internet tomem sempre passos seguros. Entre eles, estão:

• Atualize suas senhas frequentemente;
• Utilize segundo fator de autenticação em todas as suas contas (aplicativo terceiro, evite SMS);
• Utilize antivírus no PC e smartphone;
• Mantenha sistemas operacionais atualizados;
• Não faça downloads de apps, programas e sistemas fora de lojas oficiais;
• Ignore mensagens com links sobre promoções incríveis ou informações alarmantes.