Microsoft stále digitálně podepisuje malware

Někdy je při vloupání do zabezpečeného zařízení snazší vstoupit předními dveřmi než přejít přes zeď. Hackeři stále častěji zjišťují, že je to pravda, pokud jde o šíření malwaru do systému Windows.

Začátkem tohoto roku se objevil malware s názvem „Síťový filtr” byl podepsán hardwarovými laboratořemi společnosti Microsoft, což mu umožnilo obejít vestavěnou obranu Windows. Netfilter rootkit byl škodlivý ovladač jádra, který byl distribuován s čínskými hrami a který komunikuje s čínskými servery pro velení a řízení.

Zdá se, že společnost porazila zabezpečení společnosti Microsoft jednoduše tím, že se řídila běžnými postupy a odeslala ovladač jako každá normální společnost.

Bezpečnostní výzkumníci Bitdefenderu nyní identifikovali nový rootkit podepsaný společností Microsoft s názvem FiveSys, který byl také digitálně podepsán laboratoří Microsoft Windows Hardware Quality Labs (WHQL) a je distribuován uživatelům Windows ve volné přírodě, zejména v Číně.

Účelem rootkitu FiveSys je přesměrovat internetový provoz v infikovaných počítačích prostřednictvím vlastního proxy, který je čerpán z vestavěného seznamu 300 domén. Přesměrování funguje pro HTTP i HTTPS; rootkit nainstaluje vlastní kořenový certifikát, aby přesměrování HTTPS fungovalo. Tímto způsobem prohlížeč neupozorňuje na neznámou identitu proxy serveru.

Rootkit také používá různé strategie, aby se chránil, jako je blokování možnosti upravovat registr a zastavení instalace dalších rootkitů a malwaru z různých skupin.

Bitdefender kontaktoval Microsoft, který podpis krátce poté odvolal, ale kdo ví, kolik dalších trojských koní je ve volné přírodě.

přes Neowin