Malware cu semnătură digitală emisă de Microsoft, folosit pentru a sustrage nume de utilizator și parole

Autor: Aurelian Mihai 25.10.2021
Malware cu semnătură digitală emisă de Microsoft, folosit pentru a sustrage nume de utilizator și parole

În mod normal, certificatele de securitate digitală sunt emise de Microsoft doar pentru dezvoltatorii software recunoscuți, tehnologia permițând distribuirea aplicațiilor respective fără a fi blocate la încercarea de download sau instalare.

Descoperit de specialiștii Bitdefender, rootkit-ul FiveSys a reușit cumva să obțină un avantaj decisiv în favoarea infiltrării nedetectate, sub forma unei semnături atribuită pe baza unui certificat digital emis de Microsoft. În baza acestuia, FiveSys este identificat ca și driver de sistem recunoscut, conferind atacatorilor drepturi de acces ”practic nelimitate” asupra PC-urilor atacate. Spre exemplu, pentru interceptarea cuvintelor tastate, a clipboard-ului și a imagini afișate pe ecran.

Nu este un fapt nemaiauzit ca infractorii cibernetici să folosească certificate digitale furate (emise pentru cu totul alte aplicații), dar în acest caz au reușit să achiziționeze în mod direct unul valid, metoda folosită nefiind cunoscută.

„Probabilitatea este că o solicitare a fost trimisă pentru validare și cumva a trecut prin verificările Microsoft. În timp ce cerințele de semnare digitală detectează și opresc majoritatea rootkit-urilor, acestea nu sunt infailibile”, a declarat Bogdan Botezatu, director de cercetare și raportare a amenințărilor la Bitdefender.

Cert este că respectivul malware este activ de peste un an. Aparent, FiveSys a fost răspândit mai ales în China, ridicând suspiciuni că entitatea din spatele acestuia a vizat mai degrabă ținte din regiunea Asiei.