Hackers de alguma forma conseguiram para seu rootkit uma assinatura digital emitida pela Microsoft
O rootkit FiveSys de alguma forma usou uma assinatura digital válida para ajudar a contornar as medidas de segurança cibernética a fim de roubar nomes de usuário e senhas das vítimas.
Os pesquisadores de cibersegurança da Bitdefender detalharam como os cibercriminosos têm usado o FiveSys, um rootkit que, de alguma forma, passou pelo processo de certificação de driver para ser assinado digitalmente pela Microsoft.
A assinatura válida permite que o rootkit – software malicioso que permite que criminosos cibernéticos acessem e controlem computadores infectados – pareça válido e contorne as restrições do sistema operacional e obtenha o que os pesquisadores descrevem como “privilégios virtualmente ilimitados”.
É conhecido que os cibercriminosos usam certificados digitais roubados, mas, neste caso, eles conseguiram adquirir um válido. Ainda é um mistério como os cibercriminosos conseguiram obter um certificado válido.
“As chances são de que foi submetido para validação e de alguma forma passou pelas verificações. Embora os requisitos de assinatura digital detectem e parem a maioria dos rootkits, eles não são infalíveis”, disse Bogdan Botezatu, diretor de pesquisa e relatórios de ameaças da Bitdefender, ao ZDNet .
É incerto como o FiveSys é realmente distribuído, mas os pesquisadores acreditam que ele vem junto com downloads de software crackeados .
Depois de instalado, o rootkit FiveSys redireciona o tráfego da Internet para um servidor proxy, o que faz com a instalação de um certificado raiz personalizado para que o navegador não avise sobre a identidade desconhecida do proxy. Isso também impede que outro malware seja gravado nos drivers, no que é provavelmente uma tentativa de impedir que outros criminosos cibernéticos se aproveitem do sistema comprometido.
A análise dos ataques mostra que o rootkit FiveSys está sendo usado em ataques cibernéticos contra jogadores online, com o objetivo de roubar credenciais de login e a capacidade de sequestrar compras no jogo.
A popularidade dos jogos online significa que muito dinheiro pode estar envolvido – não apenas porque os dados bancários estão conectados a contas, mas também porque itens virtuais de prestígio podem render grandes somas de dinheiro quando vendidos, o que significa que os invasores podem explorar o acesso para roubá-los e vendê-los Itens.
Atualmente, os ataques têm como alvo jogadores na China – de onde os pesquisadores também acreditam que os atacantes estão operando.
A campanha começou lentamente no final de 2020, mas se expandiu maciçamente durante o verão de 2021. A campanha está agora bloqueada depois que pesquisadores da Bitdefender sinalizaram o abuso de confiança digital para a Microsoft, que revogou a assinatura.
“Temos detecções integradas e continuamos a investigar e a tomar as medidas necessárias para ajudar a proteger os clientes”, disse um porta-voz da Microsoft à ZDNet.
Embora o rootkit esteja sendo usado para roubar credenciais de login de contas de jogo, é possível que ele seja direcionado a outros alvos no futuro. Mas, tomando algumas precauções de segurança cibernética relativamente simples, é possível evitar ser vítima deste ou de ataques semelhantes.
“Para ficar seguro, recomendamos que os usuários baixem apenas o software do site do fornecedor ou de recursos confiáveis. Além disso, soluções de segurança modernas podem ajudar a detectar malware – incluindo rootkits – e bloquear sua execução antes que possam ser iniciados”, disse Botezatu.
Fonte: https://www.zdnet.com/