Microsoft все ще використовує зловмисне програмне забезпечення цифрового підпису

Іноді, проникаючи в захищене приміщення, легше потрапити через вхідні двері, ніж через стіну. Хакери все частіше вважають, що це правда, коли справа доходить до завантаження шкідливого програмного забезпечення в Windows.

На початку цього року зловмисне програмне забезпечення під назвою «netfilter” був підписаний апаратними лабораторіями Microsoft, що дозволило йому обійти вбудовані засоби захисту Windows. Руткіт Netfilter був шкідливим драйвером ядра, який поширювався з китайськими іграми і який зв'язується з китайськими серверами командування та управління.

Схоже, компанія перемогла безпеку Microsoft, просто дотримуючись звичайних процедур і подавши драйвер, як і будь-яка звичайна компанія.

Дослідники безпеки Bitdefender тепер визначили новий руткіт, підписаний Microsoft, під назвою FiveSys, який також був підписаний лабораторією якості обладнання Windows (WHQL) Microsoft і поширюється серед користувачів Windows у дикій природі, зокрема в Китаї.

Метою руткіту FiveSys є перенаправлення інтернет-трафіку на заражених машинах через спеціальний проксі-сервер, який витягується з вбудованого списку з 300 доменів. Переспрямування працює як для HTTP, так і для HTTPS; руткіт встановлює користувацький кореневий сертифікат для роботи переспрямування HTTPS. Таким чином, браузер не попереджає про невідому особу проксі-сервера.

Руткіт також використовує різні стратегії для захисту, наприклад, блокує можливість редагування реєстру та зупиняє встановлення інших руткітів і шкідливих програм із різних груп.

Bitdefender зв'язався з Microsoft, яка невдовзі відкликала підпис, але хто знає, скільки інших троянських коней є в дикій природі.

через Neowin