Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

www.tuoitre.vn -   26/10/2021 08:00:00 1104

Một bộ rootkit mới được xác định đã được tìm thấy với chữ ký kỹ thuật số hợp lệ do Microsoft phát hành, được sử dụng để ủy quyền lưu lượng truy cập đến các địa chỉ internet mà những kẻ tấn công quan tâm trong hơn một năm nhắm vào các game thủ trực tuyến ở Trung Quốc.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Công ty công nghệ an ninh mạng có trụ sở tại Bucharest đã đặt tên cho phần mềm độc hại này là "FiveSys", gọi ra các động cơ trộm cắp thông tin xác thực và động cơ chiếm đoạt quyền mua hàng trong trò chơi. Nhà sản xuất Windows đã thu hồi chữ ký sau khi tiết lộ có trách nhiệm.

“Chữ ký điện tử là một cách để thiết lập niềm tin, và thêm vào đó,“ chữ ký điện tử hợp lệ giúp kẻ tấn công điều hướng xung quanh các hạn chế của hệ điều hành trong việc tải các mô-đun của bên thứ ba vào nhân. Sau khi được tải, rootkit cho phép những người tạo ra nó để có được các đặc quyền hầu như không giới hạn. "

Rootkit vừa lẩn tránh vừa lén lút vì chúng cung cấp cho các tác nhân đe dọa một chỗ đứng cố định trên hệ thống của nạn nhân và che giấu các hành động độc hại của chúng khỏi hệ điều hành (OS) cũng như khỏi các giải pháp chống phần mềm độc hại, cho phép kẻ thù duy trì sự bền bỉ kéo dài ngay cả sau khi cài đặt lại hệ điều hành hoặc thay thế ổ cứng.

Trong trường hợp của FiveSys, mục tiêu chính của phần mềm độc hại là chuyển hướng và định tuyến lưu lượng truy cập internet cho cả kết nối HTTP và HTTPS đến các miền độc hại dưới sự kiểm soát của kẻ tấn công thông qua một máy chủ proxy tùy chỉnh. Các nhà khai thác rootkit cũng sử dụng phương pháp chặn tải trình điều khiển từ các nhóm cạnh tranh bằng cách sử dụng danh sách chặn chữ ký của các chứng chỉ bị đánh cắp để ngăn họ chiếm quyền kiểm soát máy.

Bộ rootkit FiveSys ký tên hợp lệ bởi Microsoft đang lan truyền trong thị trường

Các nhà nghiên cứu lưu ý: "Để làm cho các nỗ lực gỡ xuống tiềm năng trở nên khó khăn hơn, rootkit đi kèm với một danh sách 300 tên miền được tích hợp sẵn trên '.xyz' [tên miền cấp cao nhất]". "Chúng dường như được tạo ngẫu nhiên và được lưu trữ dưới dạng mã hóa bên trong hệ nhị phân."

Sự phát triển này đánh dấu lần thứ hai trong đó các trình điều khiển độc hại có chữ ký số hợp lệ do Microsoft cấp thông qua quá trình ký Phòng thí nghiệm Chất lượng Phần cứng Windows (WHQL) đã vượt qua được các vết nứt. Vào cuối tháng 6 năm 2021, công ty an ninh mạng G Data của Đức đã tiết lộ thông tin chi tiết về một bộ rootkit khác có tên là "Netfilter" (và được Microsoft theo dõi là "Retliosystem"), giống như FiveSys, cũng nhằm vào các game thủ ở Trung Quốc.

Hương – Theo TheHackerNews

 

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 505
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.082
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 951
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 82
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 874
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 99
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ