Hur cyberbrottslingar använder annonser i sökresultat för att distribuera skadlig programvara som stjäl lösenord Titta nu
Cybersäkerhetsforskare på Bitdefender har detaljerat hur cyberbrottslingar har använt FiveSys, ett rootkit som på något sätt tagit sig igenom förarcertifieringsprocessen för att signeras digitalt av Microsoft.
Den giltiga signaturen gör att rootkit – skadlig programvara som gör det möjligt för cyberkriminella att komma åt och kontrollera infekterade datorer – visas giltiga och kringgår operativsystemrestriktioner och får vad forskare beskriver som “praktiskt taget obegränsade privilegier”.
Det är känt för cyberbrottslingar att använda stulna digitala certifikat, men i det här fallet har de lyckats skaffa ett giltigt. Det är fortfarande ett mysterium hur cyberbrottslingar kunde få tag på ett giltigt certifikat.
“Chansen är att det lämnades in för validering och på något sätt gick det igenom kontrollerna. Medan kraven på digital signering upptäcker och stoppar de flesta rootkits, är de inte idiotsäkra”, säger Bogdan Botezatu, chef för hotforskning och rapportering på Bitdefender berättade för ZDNet.
Det är osäkert hur FiveSys faktiskt distribueras, men forskare tror att det är paketerat med nedladdningar av knäckt mjukvara.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
När det har installerats omdirigerar FiveSys rootkit internettrafik till en proxyserver, vilket det gör genom att installera ett anpassat rotcertifikat så att webbläsaren inte varnar om proxyns okända identitet. Detta blockerar också annan skadlig kod från att skriva om drivrutinerna, i sannolikt ett försök att hindra andra cyberbrottslingar från att dra nytta av det komprometterade systemet.
Analys av attacker visar att FiveSys rootkit används i cyberattacker riktade mot onlinespelare, i syfte att stjäla inloggningsuppgifter och möjligheten att kapa köp i spelet.
Onlinespelens popularitet gör att mycket pengar kan vara inblandade – inte bara för att bankuppgifter är kopplade till konton, utan också för att prestigefyllda virtuella föremål kan dra in stora summor pengar när de säljs, vilket innebär att angripare kan utnyttja tillgången till att stjäla och sälja dessa föremål.
För närvarande riktar attackerna sig mot spelare i Kina – det är där forskare också tror att angriparna verkar ifrån.
Kampanjen startade långsamt i slutet av 2020, men expanderade kraftigt under loppet av sommaren 2021. Kampanjen är nu blockerad efter att forskare på Bitdefender flaggat missbruket av digitalt förtroende till Microsoft, som återkallade signaturen. ZDNet kontaktade Microsoft men hade inte fått något svar vid tidpunkten för publiceringen.
Medan rootkit för närvarande används för att stjäla inloggningsuppgifter från spelkonton, är det möjligt att det kan riktas mot andra mål i framtiden. Men genom att vidta några relativt enkla cybersäkerhetsåtgärder är det möjligt att undvika att falla offer för denna eller liknande attacker.
“För att vara säkra rekommenderar vi att användare endast laddar ner programvara från leverantörens webbplats eller från pålitliga resurser. Dessutom kan moderna säkerhetslösningar hjälpa till att upptäcka skadlig programvara – inklusive rootkits – och blockera deras exekvering innan de kan starta”, säger Botezatu .
MER OM CYBERSÄKERHET
Denna lösenordstjälpande Windows-skadlig programvara distribueras via annonser i sökresultat Spelmodeller, fuskmotorer är sprider trojansk skadlig kod och planterar bakdörrarBästa antivirusprogramvaran för 2021Ett företag upptäckte ett säkerhetsintrång. Då fann utredarna denna nya mystiska skadliga program Digital transformation skapar nya säkerhetsrisker, och företag kan inte hänga med
Relaterade ämnen:
Säkerhet TV -datahantering CXO -datacenter 