Malware rootkit găsit în driverul Windows semnat

Microsoft a declarat că un driver certificat de Programul de compatibilitate hardware Windows (WHCP) conține programe malware rootkit, dar spune că infrastructura certificatelor nu a fost compromisă.

Într-o afirmație postat în Centrul de răspuns de securitate al Microsoft, compania confirmă că a descoperit driverul compromis și a suspendat contul care l-a trimis inițial. După cum a subliniat de Bleeping Computer, acest incident a fost probabil cauzat de o slăbiciune în procesul de semnare a codului, în sine.

Microsoft mai spune că nu a văzut nicio dovadă că certificatul de semnare WHCP a fost compromis, așa că este puțin probabil ca cineva să fi putut falsifica certificarea.

Un rootkit este conceput pentru a-și masca prezența, făcându-l dificil de detectat chiar și în timp ce rulează. Malware ascuns în interiorul unui rootkit poate fi folosit pentru a fura date, a modifica rapoarte, a prelua controlul asupra sistemului infectat și așa mai departe.

Potrivit Microsoft, malware-ul șoferului pare destinat utilizării cu jocurile online și poate falsifica geolocația utilizatorului pentru a le permite să se joace de oriunde. De asemenea, îi poate permite să compromită conturile altor jucători utilizând keylogger.

Potrivit raportului Centrului de răspuns de securitate, „Activitatea actorului este limitată la sectorul jocurilor de noroc, în special în China. și nu pare să vizeze mediile de întreprindere.” De asemenea, se precizează că driverul trebuie să fie instalat manual pentru a fi efectiv.

Cu excepția cazului în care un sistem a fost deja compromis și acordând acces de administrator unui atacator sau utilizatorul însuși o face intenționat, nu există niciun risc real.

Microsoft mai spune că driverul și fișierele asociate acestuia vor fi detectate și blocate de MS Defender pentru Endpoint. Dacă credeți că ați descărcat sau instalat acest driver, puteți verifica „Indicatori de compromis” în Centrul de răspuns de securitate raport.