Se encuentra malware de rootkit en el controlador de Windows firmado

December 02, 2021
EnNoticias Seguridad De Internet

click fraud protection

Microsoft ha declarado que se encontró que un controlador certificado por el Programa de compatibilidad de hardware de Windows (WHCP) contenía malware de rootkit, pero dice que la infraestructura del certificado no se vio comprometida.

en un declaración publicado en el Centro de Respuesta de Seguridad de Microsoft, la compañía confirma que descubrió el controlador comprometido y suspendió la cuenta que lo envió originalmente. Como lo señaló Computadora que suena, este incidente probablemente fue causado por una debilidad en el proceso de firma de código, en sí mismo.

Logotipo de Microsoft — Imágenes de Chesnot / Getty

Microsoft también dice que no ha visto evidencia de que el certificado de firma WHCP estuviera comprometido, por lo que es poco probable que alguien haya podido falsificar la certificación.

Un rootkit está diseñado para enmascarar su presencia, lo que dificulta su detección incluso mientras se está ejecutando. El malware oculto dentro de un rootkit se puede utilizar para robar datos, alterar informes, tomar el control del sistema infectado, etc.

Según Microsoft, el malware del controlador parece destinado a ser utilizado con juegos en línea y puede falsificar la geolocalización del usuario para permitirle jugar desde cualquier lugar. También puede permitirles comprometer las cuentas de otros jugadores mediante el uso de keyloggers.

Según el informe del Centro de Respuesta de Seguridad, "la actividad del actor se limita al sector del juego específicamente en China y no parece apuntar a entornos empresariales ". También establece que el controlador debe instalarse manualmente para ser eficaz.

Correo electrónico de advertencia de notificación en una computadora portátil, la pantalla de la computadora muestra alertas de malware o virus — Sompong Lekhawattana / Getty Images

A menos que un sistema ya haya sido comprometido y otorgue acceso de administrador a un atacante, o que el propio usuario lo haga a propósito, no existe un riesgo real.

Microsoft también dice que el controlador y sus archivos asociados serán detectados y bloqueados por MS Defender para Endpoint. Si cree que puede haber descargado o instalado este controlador, puede consultar "Indicadores de compromiso" en el Centro de respuesta de seguridad. reporte.