Descubren un malware que usa la firma digital de Microsoft para introducirse en los equipos

Guardar

ciberseguridad cloud
ciberseguridad cloud

La compañía de ciberseguridad Bitdefender ha alertado que sus investigadores han descubierto un nuevo rootkit que utiliza una firma digital emitida por Microsoft para introducirse en los equipos de sus víctimas aprovechando el proceso de certificación de drivers.

Se trata de FiveSys, un malware que cuenta con la certificación Windows Hardware Quality Labs (WHQL) proporcionada por Microsoft y del que Bitdefender ha explicado en un informe técnico que funciona de la siguiente manera.

"El propósito del rootkit es sencillo: tiene como objetivo redirigir el tráfico de Internet en las máquinas infectadas a través de un proxy personalizado, que se extrae de una lista incorporada de 300 dominios. La redirección funciona tanto para HTTP como para HTTPS; el rootkit instala un certificado raíz personalizado para que funcione la redirección HTTPS. De esta forma, el navegador no advierte sobre la identidad desconocida del servidor proxy".

Según han observado los investigadores, FiveSys ha estado activo durante más de un año y ha afectado, especialmente, a grupos de jugadores online de China teniendo como principal objetivo el robo de credenciales y el secuestro de compras en la aplicación. Además, el informe señala que el rootkit no solo redirige el tráfico de internet, también bloquea las modificaciones del registro y la carga de controladores de otros grupos de escritura de malware.

"La firma digital válida ayuda al atacante a eludir las medidas de seguridad y las restricciones del sistema operativo para cargar módulos de terceros en el kernel. Una vez cargado, 'FiveSys' permite a sus creadores obtener privilegios ilimitados de forma virtual", explica la empresa de ciberseguridad.

Es el segundo rootkit que abusa del proceso de firma digital de Microsoft desde el pasado mes de junio, y podrían no ser "incidentes aislados"

Bitdefender señala que no tardó en informar a Microsoft del hallazgo de FiveSys que la compañía de Redmond ya ha invalidado los certificados afectados. No obstante, recuerda que este es el segundo rootkit malicioso que abusa de la firma digital de Microsoft y se descubre desde el pasado mes de junio, tras Netfilter, y que podrían no ser "incidentes aislados".

"Suponemos que estos dos incidentes podrían no ser casos aislados, y que es posible que veamos cada vez más malware que utiliza firmas digitales emitidas por Microsoft. La razón de esto podría ser los nuevos requisitos de la firma de controladores de Microsoft, que exigen que los controladores sean firmados digitalmente por Microsoft antes de su aceptación por el sistema operativo. Este nuevo requisito asegura que todos los controladores estén validados y firmados por el proveedor del sistema operativo en lugar de por el desarrollador original y, como tal, las firmas digitales no ofrecen indicación sobre la identidad del desarrollador real", advierte Bitdefender.

"Parece que los creadores de malware lograron funcionar en torno a los nuevos requisitos, como han demostrado 'Netfilter' y el nuevo 'FiveSys'. Además, el hecho de que tener firmas digitales emitidas por Microsoft podría engañar a usuarios desprevenidos y hacerles creer que son drivers legítimos drivers y aceptar su instalación", agrega.