Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

www.tuoitre.vn -   26/10/2021 08:00:00 1047

Một bộ rootkit mới được xác định đã được tìm thấy với chữ ký kỹ thuật số hợp lệ do Microsoft phát hành, được sử dụng để ủy quyền lưu lượng truy cập đến các địa chỉ internet mà những kẻ tấn công quan tâm trong hơn một năm nhắm vào các game thủ trực tuyến ở Trung Quốc.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Công ty công nghệ an ninh mạng có trụ sở tại Bucharest đã đặt tên cho phần mềm độc hại này là "FiveSys", gọi ra các động cơ trộm cắp thông tin xác thực và động cơ chiếm đoạt quyền mua hàng trong trò chơi. Nhà sản xuất Windows đã thu hồi chữ ký sau khi tiết lộ có trách nhiệm.

“Chữ ký điện tử là một cách để thiết lập niềm tin, và thêm vào đó,“ chữ ký điện tử hợp lệ giúp kẻ tấn công điều hướng xung quanh các hạn chế của hệ điều hành trong việc tải các mô-đun của bên thứ ba vào nhân. Sau khi được tải, rootkit cho phép những người tạo ra nó để có được các đặc quyền hầu như không giới hạn. "

Rootkit vừa lẩn tránh vừa lén lút vì chúng cung cấp cho các tác nhân đe dọa một chỗ đứng cố định trên hệ thống của nạn nhân và che giấu các hành động độc hại của chúng khỏi hệ điều hành (OS) cũng như khỏi các giải pháp chống phần mềm độc hại, cho phép kẻ thù duy trì sự bền bỉ kéo dài ngay cả sau khi cài đặt lại hệ điều hành hoặc thay thế ổ cứng.

Trong trường hợp của FiveSys, mục tiêu chính của phần mềm độc hại là chuyển hướng và định tuyến lưu lượng truy cập internet cho cả kết nối HTTP và HTTPS đến các miền độc hại dưới sự kiểm soát của kẻ tấn công thông qua một máy chủ proxy tùy chỉnh. Các nhà khai thác rootkit cũng sử dụng phương pháp chặn tải trình điều khiển từ các nhóm cạnh tranh bằng cách sử dụng danh sách chặn chữ ký của các chứng chỉ bị đánh cắp để ngăn họ chiếm quyền kiểm soát máy.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Các nhà nghiên cứu lưu ý: "Để làm cho các nỗ lực gỡ xuống tiềm năng trở nên khó khăn hơn, rootkit đi kèm với một danh sách 300 tên miền được tích hợp sẵn trên '.xyz' [tên miền cấp cao nhất]". "Chúng dường như được tạo ngẫu nhiên và được lưu trữ dưới dạng mã hóa bên trong hệ nhị phân."

Sự phát triển này đánh dấu lần thứ hai trong đó các trình điều khiển độc hại có chữ ký số hợp lệ do Microsoft cấp thông qua quá trình ký Phòng thí nghiệm Chất lượng Phần cứng Windows (WHQL) đã vượt qua được các vết nứt. Vào cuối tháng 6 năm 2021, công ty an ninh mạng G Data của Đức đã tiết lộ thông tin chi tiết về một bộ rootkit khác có tên là "Netfilter" (và được Microsoft theo dõi là "Retliosystem"), giống như FiveSys, cũng nhằm vào các game thủ ở Trung Quốc.

Hương – Theo TheHackerNews

 

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 145
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 272
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 278
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 201
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 269
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 233
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ