Um rootkit recém-identificado foi encontrado com uma assinatura em certificado digital válido, emitido pela Microsoft. Ele é usado em proxy de tráfego para endereços da Internet, e há mais de um ano é interesse dos atacantes, visando jogadores online da China.
A empresa de segurança na Internet que produz antivírus e outros serviços, BitDefender, com sede em Bucareste, chamou o malware de “FiveSys”. Ela destaca seus possíveis motivos de roubo de credenciais e sequestro de compra no jogo. O fabricante do Windows, por sua vez, revogou a assinatura após divulgação desse evento.
“Assinaturas digitais são uma forma de estabelecer confiança”, disseram os pesquisadores da Bitdefender em um white paper, acrescentando que “uma assinatura digital válida ajuda o invasor a navegar pelas restrições do sistema operacional ao carregar módulos de terceiros no kernel. Uma vez carregado, o rootkit permite seus criadores obterem privilégios virtualmente ilimitados.”
Os rootkits são evasivos e furtivos, pois oferecem aos agentes de ameaças uma base sólida nos sistemas das vítimas e ocultam suas ações maliciosas do Sistema Operacional (SO), bem como de soluções anti-malware, permitindo que os adversários mantenham persistência estendida, mesmo após a reinstalação do SO ou substituição do disco rígido.
No caso do FiveSys, o principal objetivo do malware é redirecionar e rotear o tráfego da Internet da vítima tanto de conexões HTTP como HTTPS para domínios maliciosos sob o controle do invasor por meio de um servidor proxy personalizado. Os operadores de rootkit também empregam a prática de bloquear o carregamento de drivers de grupos concorrentes, usando uma lista de bloqueio de assinaturas de certificados roubados para evitar que eles assumam o controle da máquina.
“Para tornar as tentativas de remoção em potencial mais difíceis, o rootkit vem com uma lista integrada de 300 domínios no ‘.xyz’ [domínio de nível superior]”, observaram os pesquisadores. “Eles parecem ser gerados aleatoriamente e armazenados em uma forma criptografada dentro do binário.”
O desenvolvimento deste caso marca a segunda vez (conhecida) em que drivers mal-intencionados com assinaturas digitais válidas em certificados emitidas pela Microsoft por meio do processo de assinatura do Windows Hardware Quality Labs (WHQL) teriam escapado do controle . No final de junho de 2021, a empresa alemã de segurança cibernética G Data divulgou detalhes de outro rootkit apelidado de “Netfilter” (e rastreado pela Microsoft como “Retliften”), que, como o FiveSys, também era voltado para jogadores na China.
Fonte: thehackernews.com
Posts relacionados: Microsoft lança atualizações de segurança para Windows 10 e Windows Server / Microsoft publica mitigações para o ataque “PetitPotam” e Microsoft lança serviço gratuito de detecção de malware forense e rootkit do Linux