Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

www.tuoitre.vn -   26/10/2021 08:00:00 1267

Một bộ rootkit mới được xác định đã được tìm thấy với chữ ký kỹ thuật số hợp lệ do Microsoft phát hành, được sử dụng để ủy quyền lưu lượng truy cập đến các địa chỉ internet mà những kẻ tấn công quan tâm trong hơn một năm nhắm vào các game thủ trực tuyến ở Trung Quốc.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Công ty công nghệ an ninh mạng có trụ sở tại Bucharest đã đặt tên cho phần mềm độc hại này là "FiveSys", gọi ra các động cơ trộm cắp thông tin xác thực và động cơ chiếm đoạt quyền mua hàng trong trò chơi. Nhà sản xuất Windows đã thu hồi chữ ký sau khi tiết lộ có trách nhiệm.

“Chữ ký điện tử là một cách để thiết lập niềm tin, và thêm vào đó,“ chữ ký điện tử hợp lệ giúp kẻ tấn công điều hướng xung quanh các hạn chế của hệ điều hành trong việc tải các mô-đun của bên thứ ba vào nhân. Sau khi được tải, rootkit cho phép những người tạo ra nó để có được các đặc quyền hầu như không giới hạn. "

Rootkit vừa lẩn tránh vừa lén lút vì chúng cung cấp cho các tác nhân đe dọa một chỗ đứng cố định trên hệ thống của nạn nhân và che giấu các hành động độc hại của chúng khỏi hệ điều hành (OS) cũng như khỏi các giải pháp chống phần mềm độc hại, cho phép kẻ thù duy trì sự bền bỉ kéo dài ngay cả sau khi cài đặt lại hệ điều hành hoặc thay thế ổ cứng.

Trong trường hợp của FiveSys, mục tiêu chính của phần mềm độc hại là chuyển hướng và định tuyến lưu lượng truy cập internet cho cả kết nối HTTP và HTTPS đến các miền độc hại dưới sự kiểm soát của kẻ tấn công thông qua một máy chủ proxy tùy chỉnh. Các nhà khai thác rootkit cũng sử dụng phương pháp chặn tải trình điều khiển từ các nhóm cạnh tranh bằng cách sử dụng danh sách chặn chữ ký của các chứng chỉ bị đánh cắp để ngăn họ chiếm quyền kiểm soát máy.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Các nhà nghiên cứu lưu ý: "Để làm cho các nỗ lực gỡ xuống tiềm năng trở nên khó khăn hơn, rootkit đi kèm với một danh sách 300 tên miền được tích hợp sẵn trên '.xyz' [tên miền cấp cao nhất]". "Chúng dường như được tạo ngẫu nhiên và được lưu trữ dưới dạng mã hóa bên trong hệ nhị phân."

Sự phát triển này đánh dấu lần thứ hai trong đó các trình điều khiển độc hại có chữ ký số hợp lệ do Microsoft cấp thông qua quá trình ký Phòng thí nghiệm Chất lượng Phần cứng Windows (WHQL) đã vượt qua được các vết nứt. Vào cuối tháng 6 năm 2021, công ty an ninh mạng G Data của Đức đã tiết lộ thông tin chi tiết về một bộ rootkit khác có tên là "Netfilter" (và được Microsoft theo dõi là "Retliosystem"), giống như FiveSys, cũng nhằm vào các game thủ ở Trung Quốc.

Hương – Theo TheHackerNews

 

TIN CÙNG CHUYÊN MỤC

Tác hại của ánh sáng xanh từ màn hình đi...

01/04/2025 12:00:00 406
Nghiên cứu đã tiết lộ những con số đáng báo động về mối liên hệ giữa thói quen nhìn màn hình trước k...

Cảnh báo mã độc phát tán từ những quảng ...

31/03/2025 12:00:00 234
Việc phòng tránh các quảng cáo DeepSeek giả mạo trên Google tương đối đơn giản, bạn có thể theo dõi ...

Trojan độc hại mới Crocodilus lợi dụng k...

28/03/2025 08:00:00 264
Một loại Trojan mới mang tên Crocodilus vừa được phát hiện, lợi dụng các dịch vụ trợ năng trên Andro...

Dân mạng cố lách để cài đặt Windows 11 k...

28/03/2025 12:00:00 295
Vấn đề này phản ánh sự căng thẳng giữa nhu cầu bảo mật của công ty và mong muốn tự do của người dùng...

Kaspersky tiết lộ hơn 500.000 vụ tấn côn...

27/03/2025 08:00:00 384
Theo dữ liệu mới nhất từ công ty an ninh mạng và bảo mật kỹ thuật số toàn cầu Kaspersky, tội phạm mạ...

Lỗi Windows máy in khó chịu nhất năm 202...

27/03/2025 12:00:00 309
Microsoft khuyên bạn nên cài đặt bản cập nhật mới nhất trên thiết bị của mình ngay bây giờ
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button