Los investigadores han descubierto un FiveSys Rootkit firmado por Microsoft en la naturaleza

Rootkit FiveSys firmado por Microsoft

Se ha encontrado un rootkit recientemente identificado con una firma digital válida emitida por Microsoft y se utiliza para enviar tráfico proxy a direcciones de Internet en las que los atacantes han estado interesados ​​durante más de un año, apuntando a jugadores en línea en China.

La seguridad cibernética con sede en Bucarest ha llamado al malware «FiveSys» y señaló sus posibles motivos para el robo de credenciales y compras en el juego. Desde entonces, Windows revocó la firma después de una divulgación responsable.

«Las firmas digitales son una forma de generar confianza», dijeron los investigadores de Bitdefender en un documento técnico. . «

Los rootkits son evasivos y reservados porque ofrecen soporte de amenazas a los sistemas de las víctimas y ocultan sus acciones maliciosas del sistema operativo (SO) y las soluciones antimalware, lo que permite a los enemigos mantener una persistencia extendida incluso después de reinstalar el SO. o reemplace el disco duro.

Rootkit FiveSys

En el caso de FiveSys, el objetivo principal del malware es redirigir y enrutar el tráfico de Internet para conexiones HTTP y HTTPS a dominios maliciosos bajo el control del atacante a través de su propio servidor proxy. Los operadores de rootkits también utilizan la práctica de bloquear la carga de controladores de grupos de la competencia utilizando una lista de firmas bloqueadas de certificados robados para evitar que tomen el control de la máquina.

«Para que sea más difícil detener la propagación, el rootkit tiene una lista integrada de 300 dominios en» .xyz » [top-level domain]»Parecen generarse aleatoriamente y almacenarse en forma cifrada dentro del binario».

Esta es la segunda vez que los controladores maliciosos con firmas digitales válidas emitidas por Microsoft a través del proceso de firma de Windows Hardware Quality Labs (WHQL) se han escapado. A finales de junio de 2021, la empresa alemana de ciberseguridad G Data publicó detalles de otro rootkit llamado «Netfilter» (y supervisado por Microsoft como «Retliften») que, al igual que FiveSys, también se dirigía a jugadores en China.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática