Microsoft nadal cyfrowo podpisuje złośliwe oprogramowanie

Czasami podczas włamywania się do bezpiecznego obiektu łatwiej jest wejść przez frontowe drzwi niż przejść przez mur. Hakerzy coraz częściej przekonują się, że to prawda, jeśli chodzi o pobieranie złośliwego oprogramowania na system Windows.

Na początku tego roku złośliwe oprogramowanie o nazwie „Filtr sieciowy” został podpisany przez laboratoria sprzętowe Microsoftu, co pozwoliło mu ominąć wbudowane mechanizmy obronne systemu Windows. Rootkit Netfilter był złośliwym sterownikiem jądra, który był dystrybuowany z chińskimi grami i komunikował się z chińskimi serwerami dowodzenia i kontroli.

Wygląda na to, że firma pokonała zabezpieczenia Microsoftu po prostu postępując zgodnie z normalnymi procedurami i przesyłając sterownik tak, jak zrobiłaby to każda normalna firma.

Badacze bezpieczeństwa Bitdefender zidentyfikowali teraz nowego rootkita podpisanego przez Microsoft, o nazwie FiveSys, który również został podpisany cyfrowo przez Microsoft Windows Hardware Quality Labs (WHQL) i jest rozprowadzany wśród użytkowników Windows na wolności, zwłaszcza w Chinach.

Celem rootkita FiveSys jest przekierowanie ruchu internetowego na zainfekowanych maszynach przez niestandardowy serwer proxy, który jest pobierany z wbudowanej listy 300 domen. Przekierowanie działa zarówno dla HTTP, jak i HTTPS; rootkit instaluje niestandardowy certyfikat główny, aby przekierowanie HTTPS działało. W ten sposób przeglądarka nie ostrzega o nieznanej tożsamości serwera proxy.

Rootkit wykorzystuje również różne strategie ochrony, takie jak blokowanie możliwości edytowania rejestru i zatrzymywanie instalacji innych rootkitów i złośliwego oprogramowania z różnych grup.

Bitdefender skontaktował się z Microsoftem, który wkrótce potem unieważnił podpis, ale kto wie, ile innych koni trojańskich jest na wolności.

przez Neowin