Rootkit zlonamjerni softver pronađen u potpisanom Windows upravljačkom programu

Microsoft je izjavio da je utvrđeno da upravljački program certificiran od strane Windows Hardware Compatibility Programa (WHCP) sadrži rootkit zlonamjerni softver, ali kaže da infrastruktura certifikata nije bila ugrožena.

U izjava objavljeno u Microsoftovom sigurnosnom centru za odgovor, tvrtka potvrđuje da je otkrila kompromitirani upravljački program i suspendirala račun koji ga je izvorno poslao. Kako je istaknuo Bleeping Računalo, ovaj incident je vjerojatno uzrokovan slabošću samog procesa potpisivanja koda.

Microsoft također kaže da nije vidio nikakve dokaze da je WHCP potpisni certifikat ugrožen, pa je malo vjerojatno da je netko uspio lažirati certifikat.

Rootkit je osmišljen tako da maskira svoju prisutnost, što otežava otkrivanje čak i dok je pokrenut. Zlonamjerni softver skriven unutar rootkita može se koristiti za krađu podataka, mijenjanje izvješća, preuzimanje kontrole nad zaraženim sustavom i tako dalje.

Prema Microsoftu, čini se da je zlonamjerni softver vozača namijenjen za korištenje s online igrama i može prevariti korisnikovu geolokaciju kako bi im omogućio da igraju s bilo kojeg mjesta. Također im može dopustiti da kompromitiraju račune drugih igrača korištenjem keyloggera.

Prema izvješću Security Response Centera, "Glumčeva aktivnost ograničena je na sektor igara posebno u Kini i čini se da ne cilja na poslovna okruženja." Također navodi da se upravljački program mora ručno instalirati da bi bio djelotvoran.

Osim ako sustav već nije kompromitiran i ako je napadaču dodijelio administratorski pristup, ili sam korisnik to namjerno učini, nema stvarnog rizika.

Microsoft također kaže da će upravljački program i povezane datoteke biti otkriven i blokiran od strane MS Defendera za Endpoint. Ako mislite da ste možda preuzeli ili instalirali ovaj upravljački program, možete provjeriti "Indikatori kompromitacije" u Centru za sigurnosni odgovor izvješće.