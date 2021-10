Zatwierdzony przez Microsoft WHQL sterownik FiveSys okazał się być w rzeczywistości złośliwym oprogramowaniem w przebraniu. Czy nasze komputery są zagrożone?

Złośliwe oprogramowanie jest wystarczająco niebezpieczne samo w sobie. Te, które wydają się nieszkodliwe, ponieważ noszą na sobie jakieś wskaźniki legalności, są prawdopodobnie najgorsze z możliwych. Tak jest też w przypadku nowego złośliwego sterownika o nazwie FiveSys.

Badacze bezpieczeństwa z Bitdefender odkryli, że to nowe złośliwe oprogramowanie - jak się okazuje rootkit - w rzeczywistości jest cyfrowo podpisane i zatwierdzone przez samo Microsoft. Złośliwy sterownik FiveSys posiada certyfikat Windows Hardware Quality Labs (WHQL), który jest dostarczany przez Microsoft po dokładnej weryfikacji pakietów sterowników przesłanych przez różnych dostawców partnerskich w ramach programu Windows Hardware Compatibility Program (WHCP). Jak się jednak okazuje, weryfikacja nie została przeprowadzona poprawnie.

Bitdefender wyjaśnił, dlaczego rootkit FiveSys istnieje i jak działa:

Cel rootkita jest prosty: ma on na celu przekierowanie ruchu internetowego w zainfekowanych maszynach poprzez niestandardowe proxy, które jest pobierane z wbudowanej listy 300 domen. Przekierowanie działa zarówno dla HTTP, jak i HTTPS; rootkit instaluje niestandardowy certyfikat główny, aby przekierowanie HTTPS mogło działać. W ten sposób przeglądarka nie ostrzega o nieznanej tożsamości serwera proxy.

Zauważono, że rozprzestrzenianie się FiveSys jest jak dotąd ograniczone tylko do Chin, co może wskazywać na to, że aktorzy zagrożeń są zainteresowani głównie tą częścią regionu. Jeśli chodzi o inne kluczowe cechy, powiązany z nim whitepaper wspomina również, że rootkit blokuje modyfikacje rejestru, a także próbuje zablokować dostęp konkurencji do zainfekowanego systemu.

Oprócz przekierowywania ruchu internetowego, rootkit blokuje również ładowanie sterowników od innych grup piszących złośliwe oprogramowanie, ponieważ prawdopodobnie próbuje ograniczyć dostęp konkurencyjnych podmiotów do zainfekowanego systemu.

Bitdefender twierdzi, że po powiadomieniu Microsoftu o tym złośliwym rootkicie, firma z Redmond usunęła jego sygnaturę z FiveSys. Więcej szczegółów na ten temat można przeczytać w oficjalnym wpisie na blogu tutaj. Co ciekawe, nie jest to pierwszy taki przypadek w ostatnim czasie. Podobne złośliwe oprogramowanie o nazwie "Netfilter" również zostało zatwierdzone przez Microsoft w czerwcu, prawdopodobnie w podobny sposób.

