Cybersikkerhetsforskere ved Bitdefender har detaljert hvordan nettkriminelle har brukt FiveSys, et rootkit som på en eller annen måte kom seg gjennom sjåførsertifiseringsprosessen for å bli digitalt signert av Microsoft.
Den gyldige signaturen gjør det mulig for rootkit – ondsinnet programvare som lar nettkriminelle få tilgang til og kontrollere infiserte datamaskiner – til å fremstå som gyldige og omgå operativsystemrestriksjoner og få det forskere beskriver som «praktisk talt ubegrensede privilegier».
Det er kjent for cyberkriminelle å bruke stjålne digitale sertifikater, men i dette tilfellet har de klart å skaffe seg et gyldig. Det er fortsatt et mysterium hvordan cyberkriminelle klarte å få tak i et gyldig sertifikat.
“Sjansen er at den ble sendt inn for validering og på en eller annen måte kom gjennom kontrollene. Mens kravene til digital signering oppdager og stopper de fleste rootkittene, er de ikke idiotsikre,” Bogdan Botezatu, direktør for trusselforskning og rapportering hos Bitdefender fortalte ZDNet.
Det er usikkert hvordan FiveSys faktisk distribueres, men forskere mener at det følger med sprukket programvareoverføringer.
SE: En vinnende strategi for cybersikkerhet (ZDNet-spesialrapport)
Når det er installert, omdirigerer FiveSys rootkit internettrafikk til en proxy-server, noe det gjør ved å installere et tilpasset rotsertifikat slik at nettleseren ikke vil advare om den ukjente identiteten til proxyen. Dette blokkerer også annen skadelig programvare fra å skrive på driverne, i det som sannsynligvis er et forsøk på å stoppe andre cyberkriminelle fra å dra nytte av det kompromitterte systemet.
Analyse av angrep viser at FiveSys rootkit blir brukt i cyberangrep rettet mot online spillere, med sikte på å stjele påloggingsinformasjon og muligheten til å kapre kjøp i spillet.
Populariteten til nettspill betyr at mye penger kan være involvert – ikke bare fordi bankopplysninger er koblet til kontoer, men også fordi prestisjefylte virtuelle gjenstander kan hente store summer når de selges, noe som betyr at angripere kan utnytte tilgangen til å stjele og selge disse varene.
For øyeblikket er angrepene rettet mot spillere i Kina – det er der forskere også tror at angriperne opererer fra.
Kampanjen startet sakte på slutten av 2020, men utvidet seg kraftig i løpet av sommeren 2021. Kampanjen er nå blokkert etter at forskere ved Bitdefender flagget misbruk av digital tillit til Microsoft, som opphevet signaturen. ZDNet kontaktet Microsoft, men hadde ikke mottatt svar på tidspunktet for publisering.
Mens rootsettet for øyeblikket brukes til å stjele påloggingsinformasjon fra spillkontoer, er det mulig at det kan rettes mot andre mål i fremtiden. Men ved å ta noen relativt enkle cybersikkerhetstiltak, er det mulig å unngå å bli offer for dette eller lignende angrep.
“For å være trygge anbefaler vi at brukere kun laster ned programvare fra leverandørens nettsted eller fra pålitelige ressurser. I tillegg kan moderne sikkerhetsløsninger bidra til å oppdage skadelig programvare – inkludert rootkits – og blokkere kjøringen av dem før de kan starte,” sa Botezatu .
MER OM NETTSIKKERHET
Denne passordstjevende Windows-skadevare distribueres via annonser i søkeresultaterGamingmods, juksemotorer er spre trojansk malware og plante bakdørerBeste antivirusprogramvare for 2021Et selskap oppdaget et sikkerhetsbrudd. Så fant etterforskere denne nye mystiske skadevareDigital transformasjon skaper nye sikkerhetsrisikoer, og bedrifter kan ikke følge med
Relaterte emner:
Security TV Data Management CXO Data Centers