Microsoft Certified Rootkit se espalha no ecossistema de jogos

O sistema de verificação de driver da Microsoft falhou mais uma vez. Desta vez – no ecossistema de jogos chinês. Aqui, o rootkit FiveSys é distribuído, que foi aprovado na certificação sob o disfarce de um driver. Este é o segundo caso conhecido desde junho deste ano.

Darkreading.com

Os especialistas em segurança cibernética determinaram que um rootkit com uma assinatura digital válida da Microsoft está sendo distribuído para jogadores na China. De acordo com especialistas da Bitdefender, o software FiveSys é usado para redirecionar o tráfego para um servidor proxy controlado por um invasor e parece ser explorado por criminosos com um interesse particular no mercado de jogos chinês. Acredita-se que o principal objetivo seja o roubo da identificação do jogador e dos dados de pagamento.

FiveSys é a segunda amostra de malware conhecida a ser assinada digitalmente pela Microsoft nos últimos meses. Em junho, a G-Data anunciou que seus especialistas descobriram o rootkit Netfilter, também assinado digitalmente pela empresa e também distribuído entre jogadores chineses. Ao mesmo tempo, os especialistas não encontram uma conexão direta entre os incidentes.

«A razão pela qual os drivers precisam ser assinados digitalmente pela Microsoft é porque o sistema operacional não aceita mais drivers assinados pelo fornecedor ”, diz Bitdefender. Desde 2016, a Microsoft insiste na certificação obrigatória pela empresa de drivers de terceiros que passaram no processo de teste do Windows Hardware Quality Labs (WHQL). Ainda não se sabe como os inspetores viram o código malicioso ao fornecer sua assinatura digital.

Em um relatório divulgado esta semana, o Bitdefender relatou um “pico” na detecção de drivers lançado nos últimos meses pela Microsoft nos últimos meses. A empresa acredita que mais deles aparecerão em um futuro próximo.

«Os rootkits estão entre as ferramentas mais poderosas e procuradas no arsenal dos cibercriminosos ”, afirma Bitdefender. A empresa afirma que são eles que permitem que você obtenha controle total sobre o dispositivo comprometido, e uma das maneiras mais eficazes de conseguir isso é conduzir malware por meio do processo de certificação da Microsoft. De acordo com especialistas, os cibercriminosos estão tentando tornar o malware Android mais “legítimo” da mesma forma, tentando colocá-lo em lojas de aplicativos oficiais.

O teste Microsoft WHQL faz parte do programa de compatibilidade de hardware do Windows. O programa funciona para garantir a operabilidade de drivers e softwares de terceiros desenvolvidos para computadores com Windows. Desde 2016, a empresa tornou obrigatório verificar e assinar todos os drivers para criar uma camada adicional de segurança.