Microsoft masih menandatangani malware secara digital

Terkadang saat membobol fasilitas yang aman, lebih mudah masuk melalui pintu depan daripada melewati tembok. Peretas semakin menemukan ini benar ketika datang untuk mendapatkan malware ke Windows.

Awal tahun ini sebuah malware bernama “Filter bersih” ditandatangani oleh laboratorium perangkat keras Microsoft, memungkinkannya untuk melewati pertahanan bawaan Windows. Rootkit Netfilter adalah driver kernel berbahaya yang didistribusikan dengan game China dan yang berkomunikasi dengan server Command and Control China.

Tampaknya perusahaan mengalahkan keamanan Microsoft hanya dengan mengikuti prosedur normal, dan mengirimkan driver seperti yang dilakukan perusahaan biasa.

Peneliti keamanan Bitdefender sekarang telah mengidentifikasi rootkit baru yang ditandatangani Microsoft, bernama FiveSys, yang juga telah ditandatangani secara digital oleh Laboratorium Kualitas Perangkat Keras Windows (WHQL) Microsoft dan didistribusikan ke pengguna Windows secara liar, khususnya di Cina.

Tujuan rootkit FiveSys adalah untuk mengarahkan lalu lintas internet di mesin yang terinfeksi melalui proxy khusus, yang diambil dari daftar 300 domain bawaan. Pengalihan berfungsi untuk HTTP dan HTTPS; rootkit menginstal sertifikat root khusus agar pengalihan HTTPS berfungsi. Dengan cara ini, browser tidak memperingatkan identitas server proxy yang tidak diketahui.

Rootkit juga menggunakan berbagai strategi untuk melindungi dirinya sendiri, seperti memblokir kemampuan untuk mengedit registri dan menghentikan instalasi rootkit dan malware lain dari grup yang berbeda.

Bitdefender menghubungi Microsoft yang mencabut tanda tangan tidak lama setelah itu, tetapi siapa yang tahu berapa banyak kuda trojan lain yang ada di alam liar.

melalui Neowin