Rootkit con una firma digitale valida emessa da Microsoft

21. novembre 2021
| Non ci sono commenti

Condividi post

Bitdefender sta osservando un aumento della presenza di rootkit con una firma digitale valida emessa da Microsoft. Attualmente, l'obiettivo è ancora i giocatori online. Ma anche altri bersagli possono essere vantaggiosi per gli aggressori.

Gli esperti di Bitdefender Labs hanno identificato FiveSys, un nuovo rootkit che utilizza la propria firma digitale valida emessa da Microsoft invece di abusare delle firme rubate. FiveSys presumibilmente attacca i giocatori online per rubare identità digitali e intervenire maliziosamente negli acquisti in-game. Utilizzando una firma Microsoft appena emessa, gli hacker stanno perseguendo un percorso completamente nuovo. Perché fino ad ora hanno utilizzato firme rubate ad altre aziende per dichiarare legittimo e credibile il loro malware. Questo nuovo approccio è stato sempre più osservato negli ultimi mesi.

I certificati Microsoft erano validi

Un presunto certificato Microsoft digitale reale (Immagine: Bitdefender).

Bitdefender ha informato Microsoft dell'uso improprio e ha fornito le prove appropriate, dopodiché la società di software ha richiamato questa firma dopo poco tempo.

Negli ultimi mesi, gli esperti di Bitdefender hanno osservato una crescente proliferazione di driver dannosi con segnali digitali validi emessi come parte del processo di firma WHQL di Microsoft. Le attività osservate nell'ultimo anno hanno origine in Cina. Attualmente sono limitati al paese e ai giochi disponibili sul mercato locale e perseguono obiettivi economici. Gli esperti presumono che dietro questi attacchi ci siano vari autori. Ciò è supportato dal fatto che gli strumenti utilizzati condividono le stesse funzionalità ma sono implementati in modo diverso. Il compito principale del rootkit è reindirizzare il traffico Internet a un server proxy appositamente configurato. Per fare ciò, il driver utilizza uno script locale per l'autoconfigurazione del proxy per il browser.

Attenzione alle firme digitali per malware

Gli esperti presumono che in futuro gli aggressori utilizzeranno sempre più le firme digitali Microsoft per camuffare il loro malware. È probabile che uno dei motivi principali di questa nuova tattica siano i nuovi requisiti di firma dei driver di Microsoft: questi richiedono a Microsoft di firmare digitalmente tutti i driver prima che il sistema operativo li accetti. Ciò garantisce che il software del driver sia convalidato e firmato dal fornitore del sistema operativo. Di conseguenza, tuttavia, le firme digitali non offrono più alcuna indicazione dell'effettivo sviluppatore. Un ulteriore pericolo che ne deriva: è probabile che le firme Microsoft per i presunti driver inducano molti utenti ad accettare l'installazione di malware con una falsa buona reputazione.

Rootkit con una firma digitale WHQL valida

Aumento dell'attività con certificati falsi negli ultimi mesi (Immagine: Bitdefender).

Le attività di FiveSys o Netfilter, il primo rootkit scoperto con una firma digitale WHQL valida, dimostrano che gli hacker hanno trovato un modo per aggirare i requisiti di Microsoft per la creazione di un certificato. Non si possono ipotizzare singoli casi. Piuttosto, in futuro altri malware utilizzeranno firme digitali appositamente emesse.

In questo caso, le firme digitali, che in realtà hanno lo scopo di documentare la legittimità del software e creare fiducia, aiutano gli aggressori ad aggirare le restrizioni sul caricamento di moduli di terze parti nel kernel del sistema operativo. Dopo aver installato con successo un rootkit, gli sviluppatori malintenzionati possono godere di privilegi virtualmente illimitati.

Rischi rootkit

Più di un decennio fa, i rootkit erano in prima linea nel crimine informatico. Questi programmi segreti sono progettati per fornire agli aggressori un posto permanente sui computer delle vittime e nascondere le loro attività al sistema operativo e alle soluzioni anti-malware. Il malware nel kernel del sistema operativo si sta apparentemente diffondendo di nuovo dopo essere stato respinto l'ultima volta dai meccanismi di sicurezza di Windows Vista.

Altro su Bitdefender.com

 

Informazioni su Bitdefender

Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati ​​e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Bitdefender, Messaggi PR
, , , ,