Microsoft signiert Malware immer noch digital

Manchmal ist es beim Einbruch in eine sichere Einrichtung einfacher, durch die Vordertür einzudringen, als über die Mauer zu gehen. Hacker stellen dies zunehmend fest, wenn es darum geht, Malware auf Windows zu bringen.

Anfang dieses Jahres wurde eine Malware namens „Netzfilter“ wurde von den Hardware-Laboren von Microsoft signiert, was es ermöglicht, die integrierten Abwehrmechanismen von Windows zu umgehen. Das Netfilter-Rootkit war ein bösartiger Kernel-Treiber, der mit chinesischen Spielen verteilt wurde und mit chinesischen Command-and-Control-Servern kommuniziert.

Es scheint, dass das Unternehmen die Sicherheit von Microsoft einfach durch das Befolgen normaler Verfahren und das Einreichen des Treibers, wie es jedes normale Unternehmen tun würde, zunichte gemacht hat.

Bitdefender-Sicherheitsforscher haben jetzt ein neues von Microsoft signiertes Rootkit namens FiveSys identifiziert, das ebenfalls von Microsofts Windows Hardware Quality Labs (WHQL) digital signiert wurde und in wilder Form an Windows-Benutzer verteilt wird, insbesondere in China.

Der Zweck des FiveSys-Rootkits besteht darin, den Internetverkehr auf den infizierten Computern über einen benutzerdefinierten Proxy umzuleiten, der aus einer integrierten Liste von 300 Domänen gezogen wird. Die Umleitung funktioniert sowohl für HTTP als auch für HTTPS; Das Rootkit installiert ein benutzerdefiniertes Stammzertifikat, damit die HTTPS-Umleitung funktioniert. Auf diese Weise warnt der Browser nicht vor der unbekannten Identität des Proxy-Servers.

Das Rootkit verwendet auch verschiedene Strategien, um sich selbst zu schützen, wie das Blockieren der Möglichkeit, die Registrierung zu bearbeiten, und das Stoppen der Installation anderer Rootkits und Malware aus verschiedenen Gruppen.

Bitdefender kontaktierte Microsoft, das die Signatur kurz darauf widerrief, aber wer weiß, wie viele andere Trojaner in freier Wildbahn sind.

Neowin