Microsoft по-прежнему подписывает вредоносное ПО цифровой подписью

Иногда при взломе охраняемого объекта легче войти через парадную дверь, чем через стену. Хакеры все чаще обнаруживают, что это правда, когда дело доходит до внедрения вредоносных программ в Windows.

Ранее в этом году вредоносное ПО под названием «Сетевой фильтрбыл подписан аппаратными лабораториями Microsoft, что позволило ему обойти встроенную защиту Windows. Руткит Netfilter был вредоносным драйвером ядра, который распространялся с китайскими играми и взаимодействовал с китайскими серверами управления и контроля.

Похоже, что компания обошла систему безопасности Microsoft, просто следуя обычным процедурам и предоставив драйвер, как это сделала бы любая нормальная компания.

Исследователи безопасности Bitdefender идентифицировали новый руткит, подписанный Microsoft, под названием FiveSys, который также имеет цифровую подпись Microsoft Windows Hardware Quality Labs (WHQL) и распространяется среди пользователей Windows в дикой природе, особенно в Китае.

Целью руткита FiveSys является перенаправление интернет-трафика на зараженных машинах через собственный прокси-сервер, который извлекается из встроенного списка из 300 доменов. Перенаправление работает как для HTTP, так и для HTTPS; руткит устанавливает собственный корневой сертификат для работы перенаправления HTTPS. Таким образом, браузер не предупреждает о неизвестном идентификаторе прокси-сервера.

Руткит также использует различные стратегии для своей защиты, такие как блокирование возможности редактирования реестра и остановка установки других руткитов и вредоносных программ из разных групп.

Bitdefender связался с Microsoft, которая вскоре после этого отозвала подпись, но кто знает, сколько других троянских коней существует в дикой природе.

с помощью Neowin