Система верификации драйверов Microsoft в очередной раз дала сбой. На этот раз — в игровой экосистеме Китая. Здесь распространяется руткит FiveSys, успешно прошедший сертификацию под видом драйвера. Это уже второй случай, получивший известность с июня текущего года.

darkreading.com

Эксперты по кибербезопасности установили, что руткит с действительной цифровой подписью Microsoft распространяется среди геймеров КНР. Как сообщают эксперты Bitdefender, ПО FiveSys используется для перенаправления трафика на контролируемый злоумышленниками прокси-сервер и, похоже, эксплуатируется преступниками, имеющими особый интерес к игровому рынку Китая. Основной целью, как считается, является кража идентификационных и платёжных данных игроков.

FiveSys стал уже вторым известным образцом вредоносного ПО, получившим цифровую подпись Microsoft за последние месяцы. В июне компания G-Data сообщила, что её специалисты обнаружили руткит Netfilter, также имевший цифровую подпись компании и тоже распространявшийся среди китайских геймеров. При этом эксперты не находят прямой связи между инцидентами.

«Причина, по которой драйверам необходимо получить цифровую подпись Microsoft в том, что операционная система более не принимает драйверы, подписанные только вендором», — заявляют в компании Bitdefender. С 2016 года Microsoft настаивает на обязательной сертификации компанией сторонних драйверов, прошедших процесс тестирования Windows Hardware Quality Labs (WHQL). Пока неизвестно, каким образом проверяющие просмотрели вредоносный код, обеспечив его своей цифровой подписью.

В докладе, выпущенном на этой неделе, Bitdefender сообщает о наблюдающемся в последние месяцы «всплеске» выявлений драйверов, выпущенных в последние месяцы Microsoft. В компании считают, что в обозримом будущем их появится ещё больше.

«Руткиты являются одними из самых мощных и востребованных инструментов в арсенале киберпреступников», — заявляют в Bitdefender. В компании заявляют, что именно они потенциально позволяют получить полный контроль над скомпрометированным устройством, а один из наиболее эффективных способов добиться этого — провести вредоносное ПО через процесс сертификации Microsoft. По мнению экспертов, таким же путём злоумышленники пытаются сделать более «легитимным» вредоносное ПО для ОС Android, пытаясь разместить его в официальных магазинах приложений.

WHQL-тестирование Microsoft является частью программы обеспечения аппаратной совместимости железа с ОС Windows. Программа действует для обеспечения работоспособности драйверов и стороннего ПО, разработанных для компьютеров на Windows. С 2016 года компания считает обязательным проверять и подписывать все драйверы для формирования дополнительного уровня безопасности.

Источник: 3Dnews.