Microsoft sta ancora firmando digitalmente il malware

A volte, quando si fa irruzione in una struttura sicura, è più facile entrare dalla porta principale che oltrepassare il muro. Gli hacker stanno scoprendo sempre più che questo è vero quando si tratta di inserire malware su Windows.

All'inizio di quest'anno un malware chiamato "Filtro rete” è stato firmato dai laboratori hardware di Microsoft, consentendogli di aggirare le difese integrate di Windows. Il rootkit Netfilter era un driver del kernel dannoso che veniva distribuito con i giochi cinesi e che comunicava con i server Command and Control cinesi.

Sembra che la società abbia sconfitto la sicurezza di Microsoft semplicemente seguendo le normali procedure e inviando il driver come farebbe qualsiasi azienda normale.

Ricercatori sulla sicurezza di Bitdefender hanno ora identificato un nuovo rootkit firmato da Microsoft, chiamato FiveSys, che è stato anche firmato digitalmente dai Windows Hardware Quality Labs (WHQL) di Microsoft e viene distribuito agli utenti Windows in modo selvaggio, in particolare in Cina.

Lo scopo del rootkit FiveSys è reindirizzare il traffico Internet nelle macchine infette attraverso un proxy personalizzato, che viene estratto da un elenco integrato di 300 domini. Il reindirizzamento funziona sia per HTTP che per HTTPS; il rootkit installa un certificato radice personalizzato affinché il reindirizzamento HTTPS funzioni. In questo modo, il browser non avverte dell'identità sconosciuta del server proxy.

Il rootkit utilizza anche varie strategie per proteggersi, come bloccare la possibilità di modificare il registro e interrompere l'installazione di altri rootkit e malware di gruppi diversi.

Bitdefender ha contattato Microsoft che ha revocato la firma poco dopo, ma chissà quanti altri cavalli di Troia sono in circolazione.

via Neowin