Złośliwe oprogramowanie typu rootkit wykryte w podpisanym sterowniku systemu Windows

Microsoft stwierdził, że sterownik certyfikowany przez Windows Hardware Compatibility Program (WHCP) zawiera złośliwe oprogramowanie typu rootkit, ale twierdzi, że infrastruktura certyfikatów nie została naruszona.

W oświadczenie opublikowana w centrum Microsoft Security Response Center, firma potwierdza, że ​​wykryła zhakowany sterownik i zawiesiła konto, na którym został pierwotnie przesłany. Jak wskazał Syczący komputer, ten incydent był prawdopodobnie spowodowany słabością samego procesu podpisywania kodu.

Microsoft twierdzi również, że nie znalazł dowodów na to, że certyfikat podpisywania WHCP został naruszony, więc jest mało prawdopodobne, aby ktoś był w stanie sfałszować certyfikat.

Rootkit ma za zadanie maskować jego obecność, co utrudnia jego wykrycie nawet podczas działania. Złośliwe oprogramowanie ukryte w rootkicie może zostać użyte do kradzieży danych, zmiany raportów, przejęcia kontroli nad zainfekowanym systemem i tak dalej.

Według Microsoftu, złośliwe oprogramowanie sterownika wydaje się być przeznaczone do gier online i może sfałszować geolokalizację użytkownika, aby umożliwić mu grę z dowolnego miejsca. Może również pozwolić im na włamanie się do kont innych graczy za pomocą keyloggerów.

Według raportu Security Response Center „Aktywność aktora ogranicza się do sektora gier, szczególnie w Chinach”. i nie wydaje się być przeznaczony dla środowisk korporacyjnych”. Stwierdza również, że sterownik musi być zainstalowany ręcznie, aby efektywny.

O ile system nie został już naruszony i przyznając dostęp administratora osobie atakującej, lub sam użytkownik robi to celowo, nie ma realnego ryzyka.

Microsoft twierdzi również, że sterownik i powiązane z nim pliki zostaną wykryte i zablokowane przez MS Defender for Endpoint. Jeśli uważasz, że pobrałeś lub zainstalowałeś ten sterownik, możesz sprawdzić „Wskaźniki narażenia na ryzyko” w Security Response Center raport.