Hvordan cyberkriminelle bruger annoncer i søgeresultater til at distribuere adgangskodestjælende malware Se nu
Cybersikkerhedsforskere hos Bitdefender har detaljeret beskrevet, hvordan cyberkriminelle har brugt FiveSys, et rootkit, der på en eller anden måde kom igennem drivercertificeringsprocessen for at blive digitalt signeret af Microsoft.
Den gyldige signatur gør det muligt for rootkittet – ondsindet software der tillader cyberkriminelle at få adgang til og kontrollere inficerede computere – at fremstå som gyldige og omgå operativsystemrestriktioner og opnå, hvad forskere beskriver som “stort set ubegrænsede privilegier”.
Det er kendt for cyberkriminelle at bruge stjålne digitale certifikater, men i dette tilfælde er det lykkedes dem at erhverve et gyldigt. Det er stadig et mysterium, hvordan cyberkriminelle var i stand til at få fat i et gyldigt certifikat.
“Der er sandsynlighed for, at det blev indsendt til validering, og på en eller anden måde kom det igennem kontrollen. Mens kravene til digital signering registrerer og stopper de fleste rootkits, er de ikke idiotsikre,” Bogdan Botezatu, direktør for trusselsforskning og rapportering hos Bitdefender fortalte ZDNet.
Det er usikkert, hvordan FiveSys faktisk distribueres, men forskere mener, at det er bundtet med revnede softwareoverførsler.
SE: En vindende strategi for cybersikkerhed (ZDNet specialrapport)
Når den er installeret, omdirigerer FiveSys rootkit internettrafik til en proxyserver, hvilket den gør ved at installere et tilpasset rodcertifikat så browseren ikke advarer om proxyens ukendte identitet. Dette blokerer også anden malware i at skrive på driverne, i hvad der sandsynligvis er et forsøg på at forhindre andre cyberkriminelle i at drage fordel af det kompromitterede system.
Analyse af angreb viser, at FiveSys rootkit bliver brugt i cyberangreb rettet mod online-spillere med det formål at stjæle login-legitimationsoplysninger og muligheden for at kapre køb i spillet.
Populariteten af online spil betyder, at der kan være mange penge involveret – ikke kun fordi bankoplysninger er forbundet med konti, men også fordi prestigefyldte virtuelle genstande kan hente store summer, når de sælges, hvilket betyder, at angribere kan udnytte adgangen til at stjæle og sælge disse genstande.
I øjeblikket er angrebene rettet mod spillere i Kina – hvor forskere også mener, at angriberne opererer fra.
Kampagnen startede langsomt i slutningen af 2020, men blev massivt udvidet i løbet af sommeren 2021. Kampagnen er nu blokeret, efter at forskere hos Bitdefender har markeret misbrug af digital tillid til Microsoft, som tilbagekaldte signaturen. ZDNet kontaktede Microsoft, men havde ikke modtaget et svar på tidspunktet for offentliggørelsen.
Selvom rootkittet i øjeblikket bliver brugt til at stjæle login-legitimationsoplysninger fra spilkonti, er det muligt, at det kan blive rettet mod andre mål i fremtiden. Men ved at tage nogle forholdsvis enkle cybersikkerhedsforanstaltninger, er det muligt at undgå at blive offer for dette eller lignende angreb.
“For at forblive sikre anbefaler vi, at brugere kun downloader software fra sælgerens websted eller fra pålidelige ressourcer. Derudover kan moderne sikkerhedsløsninger hjælpe med at opdage malware – herunder rootkits – og blokere deres udførelse, før de kan starte,” sagde Botezatu .
MERE OM CYBERSIKKERHED
Denne adgangskodestjælende Windows-malware distribueres via annoncer i søgeresultaterneGamingmods, snydemotorer er sprede trojansk malware og plante bagdøreBedste antivirussoftware til 2021En virksomhed opdagede et sikkerhedsbrud. Så fandt efterforskere denne nye mystiske malwareDigital transformation skaber nye sikkerhedsrisici, og virksomheder kan ikke følge med
Relaterede emner:
Security TV Data Management CXO Data Centres