Powered By Blogger

Rechercher sur ce blogue

mercredi 1 décembre 2021

Driver (Pilote) = Rootkit (Hacker) ;-)

 

 

Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant

Fanny Dufour
22 octobre 2021 à 17h22

 

Un driver, signé électroniquement par Microsoft, s'est révélé être un rootkit, tel que l'ont découvert les chercheurs de Bitdefender.

C'est la deuxième fois en quelques mois qu'un driver signé par les services de validation de Microsoft est en réalité un logiciel malveillant.

Un rootkit qui redirige le trafic internet

Pour la deuxième fois en quelques mois, un driver possédant une signature WHQL, certifiant normalement qu'il a été vérifié par Microsoft, était en vérité un rootkit. C'est ce qu'ont découvert les chercheurs de Bitdefender en se penchant sur FiveSys. Comme pour Netfilter avant lui, les créateurs du rootkit ont réussi contourner le système et à obtenir une certification de la part de l'entreprise, leur permettant de gagner la confiance des utilisateurs et d'avoir accès à des fonctionnalités sur le système d'exploitation qui leur sont normalement interdites.

Une fois sur la machine de sa victime, le rootkit redirige le trafic internet de la machine infectée à travers un proxy personnalisé, choisi parmi une liste de 300 domaines. Il installe un certificat racine personnalisé pour faire fonctionner la redirection HTTPS, afin d'éviter que le navigateur prévienne l'utilisateur que l'identité du serveur proxy est inconnue. Il se protège en empêchant les modifications du registre et empêche également l'installation de rootkits et de malwares provenant d'autres groupes.

Un rootkit concentré sur la Chine

D'après Bitdefender, FiveSys serait en activité depuis plus d'un an. Il ne se serait pas propagé en dehors de la Chine pour le moment, ses créateurs semblant particulièrement intéressés par ce marché. Les chercheurs pensent qu'il vise particulièrement les jeux en ligne, dans le but de voler des identifiants et détourner les achats faits en jeu.

Les chercheurs ont prévenu Microsoft de leurs trouvailles et l'entreprise a révoqué la signature accordée au faux driver. Bitdefender ne nomme pas précisément un groupe de hackers comme étant à l'origine de ces attaques.

Sur le même sujet :
Microsoft admet avoir signé un driver qui était en réalité un rootkit

Sources : Neowin , Bitdefender

Posted by at
Labels: , ,

Aucun commentaire:

Publier un commentaire

S'abonner à : Publier des commentaires (Atom)