A Bitdefender está observando um aumento na ocorrência de rootkits com uma assinatura digital válida emitida pela Microsoft. Atualmente, o objetivo ainda é jogadores online. Mas outros alvos também podem ser lucrativos para os atacantes.
Os especialistas do Bitdefender Labs identificaram o FiveSys, um novo rootkit que usa sua própria assinatura digital válida emitida pela Microsoft em vez de abusar de assinaturas roubadas. A FiveSys supostamente ataca jogadores online para roubar identidades digitais e intervir maliciosamente em compras no jogo. Ao usar uma assinatura da Microsoft recém-emitida, os hackers estão seguindo um caminho totalmente novo. Porque até agora eles usaram assinaturas roubadas de outras empresas para declarar seu malware legítimo e confiável. Essa nova abordagem tem sido cada vez mais observada nos últimos meses.
Os certificados da Microsoft eram válidos
Um certificado digital da Microsoft supostamente real (imagem: Bitdefender).
A Bitdefender informou a Microsoft sobre o uso indevido e forneceu as evidências apropriadas, após o que a empresa de software retirou esta assinatura após um curto período de tempo.
Nos últimos meses, os especialistas da Bitdefender observaram uma proliferação crescente de drivers maliciosos com sinais digitais válidos emitidos como parte do processo de assinatura WHQL da Microsoft. As atividades observadas no ano passado têm origem na China. Atualmente, eles estão limitados ao país e aos jogos disponíveis no mercado local e buscam objetivos econômicos. Os especialistas assumem que vários criadores estão por trás desses ataques. Isso é corroborado pelo fato de que as ferramentas utilizadas compartilham as mesmas funcionalidades, mas são implementadas de forma diferente. A principal tarefa do rootkit é redirecionar o tráfego da Internet para um servidor proxy especialmente configurado. Para fazer isso, o driver usa um script local para autoconfiguração do proxy para o navegador.
Cuidado com as assinaturas digitais para malware
Os especialistas supõem que os invasores usarão cada vez mais as assinaturas digitais da Microsoft para camuflar seu malware no futuro. Uma das principais razões para essa nova tática provavelmente são os novos requisitos de assinatura de driver da Microsoft: eles exigem que a Microsoft assine digitalmente todos os drivers antes que o sistema operacional os aceite. Isso garante que o software do driver seja validado e assinado pelo fornecedor do sistema operacional. Como resultado, no entanto, as assinaturas digitais não oferecem mais nenhuma indicação do desenvolvedor real. Um perigo adicional que resulta disso: as assinaturas da Microsoft para supostos drivers provavelmente enganam muitos usuários para que aceitem a instalação de malware com uma falsa boa reputação.
Rootkit com uma assinatura digital WHQL válida
Aumento da atividade com certificados falsos nos últimos meses (Imagem: Bitdefender).
As atividades do FiveSys ou Netfilter, o primeiro rootkit descoberto com uma assinatura digital WHQL válida, mostram que os hackers encontraram uma maneira de contornar os requisitos da Microsoft para a criação de um certificado. Casos individuais não podem ser assumidos. Em vez disso, outros malwares usarão assinaturas digitais especialmente emitidas no futuro.
Nesse caso, as assinaturas digitais, que na verdade visam documentar a legitimidade do software e criar confiança, ajudam os invasores a contornar as restrições de carregamento de módulos de terceiros no kernel do sistema operacional. Após a instalação bem-sucedida de um rootkit, os desenvolvedores mal-intencionados podem desfrutar de privilégios virtualmente ilimitados.
Riscos de rootkit
Mais de uma década atrás, os rootkits estavam na vanguarda do cibercrime. Esses programas secretos são projetados para dar aos invasores um lugar permanente nas máquinas das vítimas e ocultar suas atividades do sistema operacional e das soluções antimalware. O malware no kernel do sistema operacional aparentemente está se espalhando novamente depois de ter sido adiado pela última vez pelos mecanismos de segurança do Windows Vista.
Mais em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de