A Microsoft assinou um driver chamado Netfilter, mas ele continha malware

Em notícias recentes, foi descoberto que a Microsoft aprovou um driver de terceiros, Netfilter, para Windows que contém malware de rootkit e tem circulado principalmente entre a comunidade de jogos.

Isso foi descoberto pela primeira vez por Karsten Hahn, um analista de malware da G Data, que tuitou sobre isso após notar o “Netfilter” que mais tarde ele rastreou, analisou e identificou como tendo o selo da Microsoft.https://platform.twitter.com/embed/Tweet.html?dnt=true&embedId=twitter-widget-0&features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3R3ZWV0X2VtYmVkX2NsaWNrYWJpbGl0eV8xMjEwMiI6eyJidWNrZXQiOiJjb250cm9sIiwidmVyc2lvbiI6bnVsbH19&frame=false&hideCard=false&hideThread=false&id=1408449479691456514&lang=en&origin=https%3A%2F%2Fwww.hackread.com%2Fmicrosoft-netfilter-driver-sign-rootkit-malware%2F&sessionId=e825dfcd2c4af32ef018dc25888fcb68f03ad7e8&theme=light&widgetsVersion=82e1070%3A1619632193066&width=550px

Quando a Microsoft observou o rootkit, descobriu que ele se comunicava com IPs de comando e controle chineses (C2) e, ao que parece, eles pertencem a uma das empresas que o Departamento de Defesa dos Estados Unidos rotulou como “Militares da Comunidade Chinesa ”. 

O fabricante do driver, Ningbo Zhuo Zhi Innovation Network Technology, estava trabalhando com a Microsoft para estudar e corrigir quaisquer falhas de segurança conhecidas, incluindo hardware afetado. Os usuários obterão drivers limpos por meio do Windows Update . 

Embora a Microsoft tenha admitido seu erro e começado a investigar o incidente, eles minimizaram o impacto do driver. Eles se concentraram na ideia de que, uma vez que o driver era voltado para jogadores e apenas circulava na comunidade de jogos, não há conhecimento de que tenha comprometido os usuários corporativos.

Além disso, eles acrescentaram que o rootkit só funciona se um usuário autorizar o driver e obter acesso de administrador em um PC para instalar o driver. A ideia é que o Netfilter não seja uma ameaça ao seu PC, a menos que você saia de seu caminho para instalá-lo. 

Assinatura Netfilter

Em uma postagem do blog , a Microsoft disse que estaria “refinando” o processo de assinatura, as políticas de acesso do parceiro e a validação. A gigante da tecnologia anunciou que já suspendeu a conta e agora está sendo analisada para apresentar sinais de malware adicionados. 

Não vimos nenhuma evidência de que o certificado de assinatura WHCP foi exposto. A infraestrutura não foi comprometida, disse a Microsoft.

A atividade do ator é limitada ao setor de jogos, especificamente na China e não parece visar ambientes empresariais. Não estamos atribuindo isso a um ator do Estado-nação neste momento, revelou a empresa.

O objetivo do ator é usar o driver para falsificar sua localização geográfica para enganar o sistema e jogar de qualquer lugar. O malware permite que eles ganhem uma vantagem em jogos e possivelmente explorem outros jogadores, comprometendo suas contas por meio de ferramentas comuns como keyloggers, alertou a Microsoft.

No entanto, o incidente não é totalmente reconfortante. Muitas pessoas veem um driver assinado como uma confirmação de que um driver ou programa é seguro. Esses usuários podem hesitar em instalar novos drivers em tempo hábil se estiverem preocupados com a possibilidade de haver malware, mesmo que esses drivers venham direto do fabricante.

Fonte: https://www.hackread.com/