Rootkit Malware Ditemukan di Driver Windows yang Ditandatangani

Microsoft telah menyatakan bahwa driver yang disertifikasi oleh Program Kompatibilitas Perangkat Keras Windows (WHCP) ditemukan mengandung malware rootkit, tetapi mengatakan infrastruktur sertifikat tidak terganggu.

Di sebuah penyataan diposting di Pusat Respons Keamanan Microsoft, perusahaan mengonfirmasi telah menemukan driver yang disusupi dan telah menangguhkan akun yang awalnya mengirimkannya. Seperti yang ditunjukkan oleh Komputer Bleeping, kejadian ini kemungkinan disebabkan oleh kelemahan dalam proses penandatanganan kode itu sendiri.

Microsoft juga mengatakan bahwa mereka tidak melihat bukti bahwa sertifikat penandatanganan WHCP telah disusupi, jadi tidak mungkin seseorang dapat memalsukan sertifikasi.

Rootkit dirancang untuk menutupi keberadaannya, membuatnya sulit untuk dideteksi bahkan saat sedang berjalan. Malware yang tersembunyi di dalam rootkit dapat digunakan untuk mencuri data, mengubah laporan, mengendalikan sistem yang terinfeksi, dan sebagainya.

Menurut Microsoft, malware pengemudi tampaknya dimaksudkan untuk digunakan dengan game online dan dapat menipu geolokasi pengguna untuk memungkinkan mereka bermain dari mana saja. Ini juga dapat membiarkan mereka mengkompromikan akun pemain lain dengan menggunakan keyloggers.

Menurut laporan Security Response Center, "Aktivitas aktor terbatas pada sektor game khususnya di China dan tampaknya tidak menargetkan lingkungan perusahaan." Ini juga menyatakan bahwa driver harus diinstal secara manual untuk menjadi efektif.

Kecuali jika sistem telah disusupi dan memberikan akses admin ke penyerang, atau pengguna sendiri yang melakukannya dengan sengaja, tidak ada risiko nyata.

Microsoft juga mengatakan bahwa driver dan file terkait akan terdeteksi dan diblokir oleh MS Defender untuk Endpoint. Jika Anda merasa telah mengunduh atau menginstal driver ini, Anda dapat memeriksa "Indicators of Compromise" di Security Response Center laporan.