Microsoft încă semnează digital malware

Uneori, atunci când intri într-o unitate securizată, este mai ușor să intri pe ușa din față decât să treci peste perete. Hackerii descoperă din ce în ce mai mult că acest lucru este adevărat atunci când vine vorba de introducerea de programe malware în Windows.

La începutul acestui an, un malware numit „netfilter” a fost semnat de laboratoarele de hardware ale Microsoft, permițându-i să ocolească apărările încorporate ale Windows. Rootkit-ul Netfilter era un driver de kernel rău intenționat care era distribuit cu jocurile chinezești și care comunică cu serverele chinezești de comandă și control.

Se pare că compania a învins securitatea Microsoft pur și simplu urmând procedurile normale și trimițând driverul așa cum ar face orice companie obișnuită.

Cercetători în securitate Bitdefender au identificat acum un nou rootkit semnat de Microsoft, numit FiveSys, care a fost, de asemenea, semnat digital de Windows Hardware Quality Labs (WHQL) de la Microsoft și este distribuit utilizatorilor Windows în sălbăticie, în special în China.

Scopul rootkit-ului FiveSys este de a redirecționa traficul de internet în mașinile infectate printr-un proxy personalizat, care este extras dintr-o listă încorporată de 300 de domenii. Redirecționarea funcționează atât pentru HTTP, cât și pentru HTTPS; rootkit-ul instalează un certificat rădăcină personalizat pentru ca redirecționarea HTTPS să funcționeze. În acest fel, browserul nu avertizează despre identitatea necunoscută a serverului proxy.

De asemenea, rootkit-ul folosește diverse strategii pentru a se proteja, cum ar fi blocarea capacității de a edita registrul și oprirea instalării altor rootkit-uri și malware din diferite grupuri.

Bitdefender a contactat Microsoft care a revocat semnătura la scurt timp după, dar cine știe câți alți cai troieni sunt în sălbăticie.

de Neowin