È stato trovato un rootkit appena identificato con una firma digitale valida emessa da Microsoft che viene utilizzata per proxy del traffico agli indirizzi Internet di interesse per gli aggressori da oltre un anno prendendo di mira i giocatori online in Cina.
Bitdefender, società di tecnologia di sicurezza informatica con sede a Bucarest, ha chiamato il malware " FiveSys " , indicando il suo possibile furto di credenziali e i motivi del dirottamento degli acquisti all'interno del gioco. Il produttore di Windows da allora ha revocato la firma in seguito alla divulgazione responsabile.
"Le firme digitali sono un modo per stabilire fiducia", hanno affermato i ricercatori di Bitdefender in un white paper, aggiungendo "una firma digitale valida aiuta l'attaccante a aggirare le restrizioni del sistema operativo sul caricamento di moduli di terze parti nel kernel. Una volta caricato, il rootkit consente suoi creatori di ottenere privilegi virtualmente illimitati."
I rootkit sono sia evasivi che furtivi in quanto offrono agli attori delle minacce un punto d'appoggio radicato sui sistemi delle vittime e nascondono le loro azioni dannose dal sistema operativo (SO) e dalle soluzioni anti-malware, consentendo agli avversari di mantenere una persistenza estesa anche dopo la reinstallazione del sistema operativo o la sostituzione del disco rigido.
Nel caso di FiveSys, l'obiettivo principale del malware è reindirizzare e instradare il traffico Internet per le connessioni HTTP e HTTPS a domini dannosi sotto il controllo dell'attaccante tramite un server proxy personalizzato. Gli operatori di rootkit utilizzano anche la pratica di bloccare il caricamento di driver da gruppi concorrenti utilizzando una blocklist di firme di certificati rubati per impedire loro di assumere il controllo della macchina.
"Per rendere più difficili i potenziali tentativi di rimozione, il rootkit viene fornito con un elenco integrato di 300 domini su '.xyz' [dominio di primo livello]", hanno osservato i ricercatori. "Sembrano essere generati casualmente e archiviati in una forma crittografata all'interno del binario".
Lo sviluppo segna la seconda volta in cui i driver dannosi con firme digitali valide emesse da Microsoft attraverso il processo di firma di Windows Hardware Quality Labs ( WHQL ) sono sfuggiti alle crepe. Alla fine di giugno 2021, la società tedesca di sicurezza informatica G Data ha rivelato i dettagli di un altro rootkit soprannominato " Netfilter " (e tracciato da Microsoft come "Retliften"), che, come FiveSys, era rivolto anche ai giocatori in Cina.
Bitdefender, società di tecnologia di sicurezza informatica con sede a Bucarest, ha chiamato il malware " FiveSys " , indicando il suo possibile furto di credenziali e i motivi del dirottamento degli acquisti all'interno del gioco. Il produttore di Windows da allora ha revocato la firma in seguito alla divulgazione responsabile.
"Le firme digitali sono un modo per stabilire fiducia", hanno affermato i ricercatori di Bitdefender in un white paper, aggiungendo "una firma digitale valida aiuta l'attaccante a aggirare le restrizioni del sistema operativo sul caricamento di moduli di terze parti nel kernel. Una volta caricato, il rootkit consente suoi creatori di ottenere privilegi virtualmente illimitati."
I rootkit sono sia evasivi che furtivi in quanto offrono agli attori delle minacce un punto d'appoggio radicato sui sistemi delle vittime e nascondono le loro azioni dannose dal sistema operativo (SO) e dalle soluzioni anti-malware, consentendo agli avversari di mantenere una persistenza estesa anche dopo la reinstallazione del sistema operativo o la sostituzione del disco rigido.
Nel caso di FiveSys, l'obiettivo principale del malware è reindirizzare e instradare il traffico Internet per le connessioni HTTP e HTTPS a domini dannosi sotto il controllo dell'attaccante tramite un server proxy personalizzato. Gli operatori di rootkit utilizzano anche la pratica di bloccare il caricamento di driver da gruppi concorrenti utilizzando una blocklist di firme di certificati rubati per impedire loro di assumere il controllo della macchina.
"Per rendere più difficili i potenziali tentativi di rimozione, il rootkit viene fornito con un elenco integrato di 300 domini su '.xyz' [dominio di primo livello]", hanno osservato i ricercatori. "Sembrano essere generati casualmente e archiviati in una forma crittografata all'interno del binario".
Lo sviluppo segna la seconda volta in cui i driver dannosi con firme digitali valide emesse da Microsoft attraverso il processo di firma di Windows Hardware Quality Labs ( WHQL ) sono sfuggiti alle crepe. Alla fine di giugno 2021, la società tedesca di sicurezza informatica G Data ha rivelato i dettagli di un altro rootkit soprannominato " Netfilter " (e tracciato da Microsoft come "Retliften"), che, come FiveSys, era rivolto anche ai giocatori in Cina.
Commenti
Posta un commento