Malware rootkit trovato nel driver di Windows firmato
Microsoft ha dichiarato che un driver certificato dal programma di compatibilità hardware di Windows (WHCP) è stato trovato per contenere malware rootkit, ma afferma che l'infrastruttura del certificato non è stata compromessa.
In un dichiarazione pubblicato nel Security Response Center di Microsoft, la società conferma di aver scoperto il driver compromesso e di aver sospeso l'account che lo aveva originariamente inviato. Come sottolineato da Computer che suona, questo incidente è stato probabilmente causato da un punto debole nel processo di firma del codice stesso.
Microsoft afferma inoltre di non aver riscontrato alcuna prova che il certificato di firma WHCP sia stato compromesso, quindi è improbabile che qualcuno sia stato in grado di falsificare la certificazione.
Un rootkit è progettato per mascherare la sua presenza, rendendo difficile il rilevamento anche mentre è in esecuzione. Il malware nascosto all'interno di un rootkit può essere utilizzato per rubare dati, alterare report, prendere il controllo del sistema infetto e così via.
Secondo Microsoft, il malware del driver sembra destinato all'uso con i giochi online e può falsificare la geolocalizzazione dell'utente per consentire loro di giocare da qualsiasi luogo. Potrebbe anche consentire loro di compromettere gli account di altri giocatori utilizzando i keylogger.
Secondo il rapporto del Security Response Center, "L'attività dell'attore è limitata al settore dei giochi in particolare in Cina e non sembra destinato agli ambienti aziendali." Dichiara inoltre che il driver deve essere installato manualmente per essere efficace.
A meno che un sistema non sia già stato compromesso e non conceda l'accesso come amministratore a un utente malintenzionato, o l'utente stesso lo faccia apposta, non vi è alcun rischio reale.
Microsoft afferma inoltre che il driver e i file associati verranno rilevati e bloccati da MS Defender for Endpoint. Se pensi di aver scaricato o installato questo driver, puoi controllare "Indicatori di compromissione" nel Security Response Center rapporto.