Microsoft ainda está assinando malware digitalmente

Às vezes, ao invadir uma instalação segura, é mais fácil entrar pela porta da frente do que passar por cima do muro. Os hackers estão cada vez mais descobrindo que isso é verdade quando se trata de colocar malware no Windows.

No início deste ano, um malware chamado “Filtro de rede” foi assinado pelos laboratórios de hardware da Microsoft, permitindo contornar as defesas internas do Windows. O rootkit Netfilter era um driver de kernel malicioso que estava sendo distribuído com jogos chineses e que se comunicava com servidores chineses de comando e controle.

Parece que a empresa derrotou a segurança da Microsoft simplesmente seguindo os procedimentos normais e enviando o driver como qualquer empresa normal faria.

Pesquisadores de segurança da Bitdefender identificaram agora um novo rootkit assinado pela Microsoft, chamado FiveSys, que também foi assinado digitalmente pelo Windows Hardware Quality Labs (WHQL) da Microsoft e está sendo distribuído para usuários do Windows em estado selvagem, principalmente na China.

O objetivo do rootkit FiveSys é redirecionar o tráfego da Internet nas máquinas infectadas por meio de um proxy personalizado, que é extraído de uma lista interna de 300 domínios. O redirecionamento funciona para HTTP e HTTPS; o rootkit instala um certificado raiz personalizado para que o redirecionamento HTTPS funcione. Dessa forma, o navegador não avisa sobre a identidade desconhecida do servidor proxy.

O rootkit também usa várias estratégias para se proteger, como bloquear a capacidade de editar o registro e interromper a instalação de outros rootkits e malwares de diferentes grupos.

A Bitdefender entrou em contato com a Microsoft, que revogou a assinatura logo depois, mas quem sabe quantos outros cavalos de tróia estão soltos.

via Neowin