Microsoft signe toujours numériquement des logiciels malveillants

Parfois, lors d'une effraction dans une installation sécurisée, il est plus facile d'entrer par la porte d'entrée que de franchir le mur. Les pirates trouvent de plus en plus que cela est vrai lorsqu'il s'agit d'introduire des logiciels malveillants sur Windows.

Plus tôt cette année, un logiciel malveillant appelé "Netfiltre” a été signé par les laboratoires de matériel de Microsoft, lui permettant de contourner les défenses intégrées de Windows. Le rootkit Netfilter était un pilote de noyau malveillant qui était distribué avec les jeux chinois et qui communiquait avec les serveurs de commande et de contrôle chinois.

Il semble que la société ait vaincu la sécurité de Microsoft simplement en suivant les procédures normales et en soumettant le pilote comme le ferait n'importe quelle entreprise normale.

Chercheurs en sécurité Bitdefender ont maintenant identifié un nouveau rootkit signé Microsoft, nommé FiveSys, qui a également été signé numériquement par Windows Hardware Quality Labs (WHQL) de Microsoft et est distribué aux utilisateurs de Windows dans la nature, en particulier en Chine.

Le but du rootkit FiveSys est de rediriger le trafic Internet dans les machines infectées via un proxy personnalisé, qui est tiré d'une liste intégrée de 300 domaines. La redirection fonctionne à la fois pour HTTP et HTTPS ; le rootkit installe un certificat racine personnalisé pour que la redirection HTTPS fonctionne. De cette façon, le navigateur n'avertit pas de l'identité inconnue du serveur proxy.

Le rootkit utilise également diverses stratégies pour se protéger, comme le blocage de la possibilité de modifier le registre et l'arrêt de l'installation d'autres rootkits et logiciels malveillants de différents groupes.

Bitdefender a contacté Microsoft qui a révoqué la signature peu de temps après, mais qui sait combien d'autres chevaux de Troie sont dans la nature.

via Neowin