Investigadores detectan el rootkit FiveSys firmado por Microsoft - Masterhacks Blog

Investigadores detectan el rootkit FiveSys firmado por Microsoft

Se encontró un rootkit recientemente identificado con una firma digital válida emitida por Microsoft, que se utiliza para el tráfico de proxy a direcciones de Internet de interés para los atacantes durante más de un año, dirigidas a jugadores en línea en China.

La compañía de tecnología de ciberseguridad con sede en Bucarest, Bitdefender, denominó al malware como FiveSys, informando sobre sus posibles motivos de robo de credenciales y secuestro de compras en juegos. Desde entonces, Microsoft revocó la firma tras la divulgación responsable.

«Las firmas digitales son una forma de establecer la confianza», dijeron los investigadores de Bitdefender en un documento técnico, agregando que «una firma digital válida ayuda al atacante a navegar alrededor de las restricciones del sistema operativo para cargar módulos de terceros en el kernel. Una vez cargado, el rootkit permite a sus creadores obtener privilegios virtualmente ilimitados».

Los rootkits son evasivos y sigilosos, ya que ofrecen a los hackers un punto de apoyo arraigado en los sistemas de las víctimas y ocultan sus acciones maliciosas del sistema operativo, así como de las soluciones antimalware, lo que permite a los adversarios mantener una persistencia prolongada incluso después de la reinstalación del sistema operativo o reemplazo del disco duro.

En el caso de FiveSys, el objetivo principal del malware es redirigir y enrutar el tráfico de Internet para conexiones HTTP y HTTPS a dominios maliciosos bajo el control del atacante a través de un servidor proxy personalizado. Los operadores de rootkit también emplean la práctica de bloquear la carga de controladores de grupos competidores utilizando una lista de bloqueo de firmas de certificados robados para evitar que tomen el control de la máquina.

«Para dificultar los posibles intentos de eliminación, el rootkit viene con una lista incorporada de 300 dominios .xyz. Parecen generarse aleatoriamente y almacenarse de forma cifrada dentro del binario», dijeron los investigadores.

Este desarrollo marca la segunda vez que los controladores maliciosos con firmas digitales válidas emitidas por Microsoft a través del proceso de firma de Windows Hardware Quality Labs (WHQL) se ha escapado. A fines de junio de 2021, la compañía alemana de seguridad cibernética G Data, reveló los detalles de otro rootkit denominado Netfilter, rastreado como Retliften por Microsoft, que como FiveSys, también estaba dirigido a jugadores en China.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *