Microsoft sigue firmando malware digitalmente

A veces, al entrar por la fuerza en una instalación segura, es más fácil entrar por la puerta principal que pasar por encima de la pared. Los piratas informáticos descubren cada vez más que esto es cierto cuando se trata de introducir malware en Windows.

A principios de este año, un malware llamado “Netfilter” fue firmado por los laboratorios de hardware de Microsoft, lo que le permitió eludir las defensas integradas de Windows. El rootkit Netfilter era un controlador de kernel malicioso que se distribuía con los juegos chinos y que se comunica con los servidores de comando y control chinos.

Parece que la empresa derrotó la seguridad de Microsoft simplemente siguiendo los procedimientos normales y enviando el controlador como lo haría cualquier empresa normal.

Investigadores de seguridad de Bitdefender ahora han identificado un nuevo rootkit firmado por Microsoft, llamado FiveSys, que también ha sido firmado digitalmente por Windows Hardware Quality Labs (WHQL) de Microsoft y se está distribuyendo a los usuarios de Windows, particularmente en China.

El propósito del rootkit FiveSys es redirigir el tráfico de Internet en las máquinas infectadas a través de un proxy personalizado, que se extrae de una lista integrada de 300 dominios. La redirección funciona tanto para HTTP como para HTTPS; el rootkit instala un certificado raíz personalizado para que funcione la redirección HTTPS. De esta forma, el navegador no avisa de la identidad desconocida del servidor proxy.

El rootkit también utiliza varias estrategias para protegerse, como bloquear la capacidad de editar el registro y detener la instalación de otros rootkits y malware de diferentes grupos.

Bitdefender se puso en contacto con Microsoft, que revocó la firma poco después, pero quién sabe cuántos otros troyanos existen.

vía Neowin