Microsoft ondertekent nog steeds digitaal malware

Soms is het bij het inbreken in een beveiligde faciliteit gemakkelijker om door de voordeur naar binnen te gaan dan over de muur te gaan. Hackers vinden dit steeds vaker waar als het gaat om het krijgen van malware op Windows.

Eerder dit jaar werd een malware genaamd “netfilter” is ondertekend door de hardwarelabs van Microsoft, waardoor het de ingebouwde verdediging van Windows kan omzeilen. De Netfilter-rootkit was een kwaadaardige kerneldriver die werd verspreid met Chinese games en die communiceert met Chinese Command and Control-servers.

Het lijkt erop dat het bedrijf de beveiliging van Microsoft heeft verslagen door simpelweg de normale procedures te volgen en het stuurprogramma in te dienen zoals elk normaal bedrijf zou doen.

Bitdefender-beveiligingsonderzoekers hebben nu een nieuwe door Microsoft ondertekende rootkit geïdentificeerd, genaamd FiveSys, die ook digitaal is ondertekend door Microsoft's Windows Hardware Quality Labs (WHQL) en die in het wild wordt verspreid onder Windows-gebruikers, met name in China.

Het doel van de FiveSys-rootkit is om het internetverkeer op de geïnfecteerde machines om te leiden via een aangepaste proxy, die wordt getrokken uit een ingebouwde lijst van 300 domeinen. De omleiding werkt voor zowel HTTP als HTTPS; de rootkit installeert een aangepast rootcertificaat om HTTPS-omleiding te laten werken. Op deze manier waarschuwt de browser niet voor de onbekende identiteit van de proxyserver.

De rootkit gebruikt ook verschillende strategieën om zichzelf te beschermen, zoals het blokkeren van de mogelijkheid om het register te bewerken en het stoppen van de installatie van andere rootkits en malware van verschillende groepen.

Bitdefender nam contact op met Microsoft die de handtekening kort daarna introk, maar wie weet hoeveel andere trojaanse paarden er nog in het wild rondlopen.

via Neowin