Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

www.tuoitre.vn -   26/10/2021 08:00:00 545

Một bộ rootkit mới được xác định đã được tìm thấy với chữ ký kỹ thuật số hợp lệ do Microsoft phát hành, được sử dụng để ủy quyền lưu lượng truy cập đến các địa chỉ internet mà những kẻ tấn công quan tâm trong hơn một năm nhắm vào các game thủ trực tuyến ở Trung Quốc.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Công ty công nghệ an ninh mạng có trụ sở tại Bucharest đã đặt tên cho phần mềm độc hại này là "FiveSys", gọi ra các động cơ trộm cắp thông tin xác thực và động cơ chiếm đoạt quyền mua hàng trong trò chơi. Nhà sản xuất Windows đã thu hồi chữ ký sau khi tiết lộ có trách nhiệm.

“Chữ ký điện tử là một cách để thiết lập niềm tin, và thêm vào đó,“ chữ ký điện tử hợp lệ giúp kẻ tấn công điều hướng xung quanh các hạn chế của hệ điều hành trong việc tải các mô-đun của bên thứ ba vào nhân. Sau khi được tải, rootkit cho phép những người tạo ra nó để có được các đặc quyền hầu như không giới hạn. "

Rootkit vừa lẩn tránh vừa lén lút vì chúng cung cấp cho các tác nhân đe dọa một chỗ đứng cố định trên hệ thống của nạn nhân và che giấu các hành động độc hại của chúng khỏi hệ điều hành (OS) cũng như khỏi các giải pháp chống phần mềm độc hại, cho phép kẻ thù duy trì sự bền bỉ kéo dài ngay cả sau khi cài đặt lại hệ điều hành hoặc thay thế ổ cứng.

Trong trường hợp của FiveSys, mục tiêu chính của phần mềm độc hại là chuyển hướng và định tuyến lưu lượng truy cập internet cho cả kết nối HTTP và HTTPS đến các miền độc hại dưới sự kiểm soát của kẻ tấn công thông qua một máy chủ proxy tùy chỉnh. Các nhà khai thác rootkit cũng sử dụng phương pháp chặn tải trình điều khiển từ các nhóm cạnh tranh bằng cách sử dụng danh sách chặn chữ ký của các chứng chỉ bị đánh cắp để ngăn họ chiếm quyền kiểm soát máy.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Các nhà nghiên cứu lưu ý: "Để làm cho các nỗ lực gỡ xuống tiềm năng trở nên khó khăn hơn, rootkit đi kèm với một danh sách 300 tên miền được tích hợp sẵn trên '.xyz' [tên miền cấp cao nhất]". "Chúng dường như được tạo ngẫu nhiên và được lưu trữ dưới dạng mã hóa bên trong hệ nhị phân."

Sự phát triển này đánh dấu lần thứ hai trong đó các trình điều khiển độc hại có chữ ký số hợp lệ do Microsoft cấp thông qua quá trình ký Phòng thí nghiệm Chất lượng Phần cứng Windows (WHQL) đã vượt qua được các vết nứt. Vào cuối tháng 6 năm 2021, công ty an ninh mạng G Data của Đức đã tiết lộ thông tin chi tiết về một bộ rootkit khác có tên là "Netfilter" (và được Microsoft theo dõi là "Retliosystem"), giống như FiveSys, cũng nhằm vào các game thủ ở Trung Quốc.

Hương – Theo TheHackerNews

 

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ những lỗ hổng bảo mật ...

23/09/2022 08:00:00 68
Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việ...

Cách xem mật khẩu Wi-Fi của bạn trong iO...

19/09/2022 08:00:00 8
Quên mật khẩu cho một trong các mạng Wi-Fi của bạn? Hãy để Kaspersky chỉ cho bạn cách tìm lại mật kh...

Cách phục hồi tin nhắn đã xoá trên iPhon...

16/09/2022 08:00:00 8
Trong bài viết này, Kaspersky sẽ hướng dẫn bạn cách phục hồi tin nhắn đã xoá trên iPhone của bạn.

64 lỗ hổng bảo mật mới đã được Microsoft...

15/09/2022 08:00:00 12
Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mớ...

Apple phát hành bản cập nhật iOS và macO...

14/09/2022 08:00:00 9
Apple đã phát hành một đợt cập nhật bảo mật khác để giải quyết nhiều lỗ hổng trong iOS và macOS, bao...

Khu vực APAC chiếm 24% số email độc hại ...

13/09/2022 08:00:00 48
Kể từ khi được gửi đi lần đầu tiên năm 1978, đến nay thư rác tăng lên không chỉ về số lượng, mà còn ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ