Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

www.tuoitre.vn -   26/10/2021 08:00:00 977

Một bộ rootkit mới được xác định đã được tìm thấy với chữ ký kỹ thuật số hợp lệ do Microsoft phát hành, được sử dụng để ủy quyền lưu lượng truy cập đến các địa chỉ internet mà những kẻ tấn công quan tâm trong hơn một năm nhắm vào các game thủ trực tuyến ở Trung Quốc.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Công ty công nghệ an ninh mạng có trụ sở tại Bucharest đã đặt tên cho phần mềm độc hại này là "FiveSys", gọi ra các động cơ trộm cắp thông tin xác thực và động cơ chiếm đoạt quyền mua hàng trong trò chơi. Nhà sản xuất Windows đã thu hồi chữ ký sau khi tiết lộ có trách nhiệm.

“Chữ ký điện tử là một cách để thiết lập niềm tin, và thêm vào đó,“ chữ ký điện tử hợp lệ giúp kẻ tấn công điều hướng xung quanh các hạn chế của hệ điều hành trong việc tải các mô-đun của bên thứ ba vào nhân. Sau khi được tải, rootkit cho phép những người tạo ra nó để có được các đặc quyền hầu như không giới hạn. "

Rootkit vừa lẩn tránh vừa lén lút vì chúng cung cấp cho các tác nhân đe dọa một chỗ đứng cố định trên hệ thống của nạn nhân và che giấu các hành động độc hại của chúng khỏi hệ điều hành (OS) cũng như khỏi các giải pháp chống phần mềm độc hại, cho phép kẻ thù duy trì sự bền bỉ kéo dài ngay cả sau khi cài đặt lại hệ điều hành hoặc thay thế ổ cứng.

Trong trường hợp của FiveSys, mục tiêu chính của phần mềm độc hại là chuyển hướng và định tuyến lưu lượng truy cập internet cho cả kết nối HTTP và HTTPS đến các miền độc hại dưới sự kiểm soát của kẻ tấn công thông qua một máy chủ proxy tùy chỉnh. Các nhà khai thác rootkit cũng sử dụng phương pháp chặn tải trình điều khiển từ các nhóm cạnh tranh bằng cách sử dụng danh sách chặn chữ ký của các chứng chỉ bị đánh cắp để ngăn họ chiếm quyền kiểm soát máy.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Các nhà nghiên cứu lưu ý: "Để làm cho các nỗ lực gỡ xuống tiềm năng trở nên khó khăn hơn, rootkit đi kèm với một danh sách 300 tên miền được tích hợp sẵn trên '.xyz' [tên miền cấp cao nhất]". "Chúng dường như được tạo ngẫu nhiên và được lưu trữ dưới dạng mã hóa bên trong hệ nhị phân."

Sự phát triển này đánh dấu lần thứ hai trong đó các trình điều khiển độc hại có chữ ký số hợp lệ do Microsoft cấp thông qua quá trình ký Phòng thí nghiệm Chất lượng Phần cứng Windows (WHQL) đã vượt qua được các vết nứt. Vào cuối tháng 6 năm 2021, công ty an ninh mạng G Data của Đức đã tiết lộ thông tin chi tiết về một bộ rootkit khác có tên là "Netfilter" (và được Microsoft theo dõi là "Retliosystem"), giống như FiveSys, cũng nhằm vào các game thủ ở Trung Quốc.

Hương – Theo TheHackerNews

 

TIN CÙNG CHUYÊN MỤC

Người dùng Việt Nam đã có thể dùng VPN k...

11/09/2023 08:00:00 125
Trước đây, người dùng phải sử dụng VPN thông qua nhiều phần mềm khác nhau, bất kể tính hợp lệ hay an...

Kaspersky: Cyber Immunity là chìa khóa b...

30/08/2023 08:00:00 694
Tuần lễ An ninh mạng lần thứ 9 của Kaspersky tiết lộ cách AI sẽ “phá vỡ” thế giới và làm thế nào để ...

Lướt web an toàn, Google hiện đã mặc địn...

30/08/2023 12:00:00 1.458
Nó cũng giúp các gia đình dễ dàng truy cập quyền kiểm soát của phụ huynh trực tiếp từ giao diện tìm ...

Lỗ hổng WinRAR mới có thể cho phép tin t...

29/08/2023 08:00:00 998
Một lỗ hổng bảo mật có mức độ nghiêm trọng cao đã được tiết lộ trong tiện ích WinRAR. Lỗ hổng này có...

Tin tặc hack 2 kính viễn vọng hiện đại n...

29/08/2023 12:00:00 874
Hiện các cơ quan có thẩm quyền và các bên liên quan vẫn chưa rõ nguồn gốc và bản chất của các cuộc t...

Microsoft đẩy mạnh cập nhật phiên bản 23...

28/08/2023 12:00:00 740
Microsoft cho biết bản vá October 2023 Patch Tuesday sẽ là bản cập nhật bảo mật cuối cùng cho 21H2.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ