Rootkits con una firma digital válida emitida por Microsoft

21. noviembre 2021
| No hay comentarios

Compartir publicación

Bitdefender está observando un aumento en la aparición de rootkits con una firma digital válida emitida por Microsoft. Actualmente, el objetivo sigue siendo los jugadores en línea. Pero otros objetivos también pueden ser rentables para los atacantes.

Los expertos de Bitdefender Labs han identificado FiveSys, un nuevo rootkit que utiliza su propia firma digital válida emitida por Microsoft en lugar de abusar de firmas robadas. FiveSys supuestamente ataca a los jugadores en línea para robar identidades digitales e intervenir maliciosamente en las compras dentro del juego. Al usar una firma de Microsoft recién emitida, los piratas informáticos están siguiendo un camino completamente nuevo. Porque hasta ahora utilizaban firmas robadas a otras empresas para declarar su malware legítimo y creíble. Este nuevo enfoque se ha observado cada vez más en los últimos meses.

Los certificados de Microsoft eran válidos

Un certificado digital de Microsoft supuestamente real (Imagen: Bitdefender).

Bitdefender informó a Microsoft sobre el uso indebido y proporcionó las pruebas adecuadas, por lo que la empresa de software retiró esta firma después de un breve período de tiempo.

En los últimos meses, los expertos de Bitdefender han observado una creciente proliferación de controladores maliciosos con señales digitales válidas emitidas como parte del proceso de firma WHQL de Microsoft. Las actividades observadas durante el último año tienen su origen en China. Actualmente se limitan al país y los juegos disponibles en el mercado local y persiguen objetivos económicos. Los expertos asumen que varios creadores están detrás de estos ataques. Esto está respaldado por el hecho de que las herramientas utilizadas comparten las mismas funcionalidades pero se implementan de manera diferente. La tarea principal del rootkit es redirigir el tráfico de Internet a un servidor proxy especialmente configurado. Para hacer esto, el controlador usa un script local para la configuración automática del proxy para el navegador.

Cuidado con las firmas digitales para malware

Los expertos asumen que los atacantes utilizarán cada vez más las firmas digitales de Microsoft para camuflar su malware en el futuro. Es probable que una de las principales razones de esta nueva táctica sean los nuevos requisitos de firma de controladores de Microsoft: Estos requieren que Microsoft firme digitalmente todos los controladores antes de que el sistema operativo los acepte. Esto garantiza que el proveedor del sistema operativo valide y firme el software del controlador. Sin embargo, como resultado, las firmas digitales ya no ofrecen ninguna indicación del desarrollador real. Un peligro adicional que resulta de esto: es probable que las firmas de Microsoft para supuestos controladores engañen a muchos usuarios para que acepten la instalación de malware con una falsa buena reputación.

Rootkit con una firma digital WHQL válida

Mayor actividad con certificados falsos en los últimos meses (Imagen: Bitdefender).

Las actividades de FiveSys o Netfilter, el primer rootkit descubierto con una firma digital WHQL válida, muestran que los piratas informáticos han encontrado una forma de eludir los requisitos de Microsoft para crear un certificado. No se pueden asumir casos individuales. Más bien, otro malware utilizará firmas digitales emitidas especialmente en el futuro.

En este caso, las firmas digitales, que en realidad están destinadas a documentar la legitimidad del software y generar confianza, ayudan a los atacantes a eludir las restricciones sobre la carga de módulos de terceros en el kernel del sistema operativo. Después de instalar con éxito un rootkit, los desarrolladores malintencionados pueden disfrutar de privilegios prácticamente ilimitados.

Riesgos de los rootkits

Hace más de una década, los rootkits estaban a la vanguardia del cibercrimen. Estos programas secretos están diseñados para dar a los atacantes un lugar permanente en las máquinas de las víctimas y ocultar sus actividades del sistema operativo y las soluciones antimalware. Aparentemente, el malware en el núcleo del sistema operativo se está propagando nuevamente después de que los mecanismos de seguridad de Windows Vista lo rechazaron por última vez.

Más en Bitdefender.com

 

Acerca de Bitdefender

Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Bitdefender, Noticias de prensa
, , , ,