Hackers de alguma forma conseguiram para seu rootkit uma assinatura digital emitida pela Microsoft

Os pesquisadores de cibersegurança  da Bitdefender  detalharam como os cibercriminosos têm usado o FiveSys, um rootkit que, de alguma forma, passou pelo processo de certificação de driver para ser assinado digitalmente pela Microsoft.  

A assinatura válida permite que o rootkit –  software malicioso  que permite que criminosos cibernéticos acessem e controlem computadores infectados – pareça válido e contorne as restrições do sistema operacional e obtenha o que os pesquisadores descrevem como “privilégios virtualmente ilimitados”. 

É conhecido que os cibercriminosos usam certificados digitais roubados, mas, neste caso, eles conseguiram adquirir um válido. Ainda é um mistério como os cibercriminosos conseguiram obter um certificado válido. 

“As chances são de que foi submetido para validação e de alguma forma passou pelas verificações. Embora os requisitos de assinatura digital detectem e parem a maioria dos rootkits, eles não são infalíveis”, disse Bogdan Botezatu, diretor de pesquisa e relatórios de ameaças da Bitdefender, ao ZDNet . 

É incerto como o FiveSys é realmente distribuído, mas os pesquisadores acreditam que ele vem junto com  downloads de software crackeados . 

Depois de instalado, o rootkit FiveSys redireciona o tráfego da Internet para um servidor proxy, o que faz com a instalação de um certificado raiz personalizado para que o navegador não avise sobre a identidade desconhecida do proxy. Isso também impede que outro malware seja gravado nos drivers, no que é provavelmente uma tentativa de impedir que outros criminosos cibernéticos se aproveitem do sistema comprometido. 

A análise dos ataques mostra que o rootkit FiveSys está sendo usado em ataques cibernéticos contra jogadores online, com o objetivo de roubar credenciais de login e a capacidade de sequestrar compras no jogo. 

A popularidade dos jogos online  significa que muito dinheiro pode estar envolvido – não apenas porque os dados bancários estão conectados a contas, mas também porque itens virtuais de prestígio podem render grandes somas de dinheiro quando vendidos, o que significa que os invasores podem explorar o acesso para roubá-los e vendê-los Itens. 

Atualmente, os ataques têm como alvo jogadores na China – de onde os pesquisadores também acreditam que os atacantes estão operando.  

A campanha começou lentamente no final de 2020, mas se expandiu maciçamente durante o verão de 2021. A campanha está agora bloqueada depois que pesquisadores da Bitdefender sinalizaram o abuso de confiança digital para a Microsoft, que revogou a assinatura. 

“Temos detecções integradas e continuamos a investigar e a tomar as medidas necessárias para ajudar a proteger os clientes”, disse um porta-voz da Microsoft à ZDNet.

Embora o rootkit esteja sendo usado para roubar credenciais de login de contas de jogo, é possível que ele seja direcionado a outros alvos no futuro. Mas, tomando algumas precauções de segurança cibernética relativamente simples, é possível evitar ser vítima deste ou de ataques semelhantes. 

“Para ficar seguro, recomendamos que os usuários baixem apenas o software do site do fornecedor ou de recursos confiáveis. Além disso, soluções de segurança modernas podem ajudar a detectar malware – incluindo rootkits – e bloquear sua execução antes que possam ser iniciados”, disse Botezatu. 

Fonte: https://www.zdnet.com/