FiveSys, un malware que emplea una firma digital de Microsoft para atacar

  • Endpoint

El rootkit utiliza la firma digital válida para introducirse en los equipos de sus víctimas aprovechando el proceso de certificación de drivers y cargar módulos de terceros en el kernel. Microsoft ya ha invalidado los certificados afectados, pero existe una alta probabilidad de resurgimiento.

Recomendados: 

El papel de la ciberinteligencia en la seguridad empresarial Webinar

La hoja de ruta de DevOps en materia de seguridad Leer 

Hace más de una década, los rootkits eran las principales herramientas para cometer ciberdelitos. Estos programas informáticos clandestinos se crearon para ofrecer a los atacantes un punto de apoyo ininterrumpido en los equipos de las víctimas y ocultar actividades maliciosas tanto del sistema operativo como de las soluciones antimalware.

Estos intrusos que viven dentro del kernel del sistema operativo han sido eliminados por las mitigaciones de seguridad introducidas ya con Windows Vista, pero de vez en cuando, regresan. Durante los últimos meses, los investigadores de Bitdefender han visto un aumento en los controladores maliciosos con firmas digitales válidas emitidas por Microsoft a través del proceso de firma WHQL. Concretamente ha descubierto el malware FiveSys, un nuevo rootkit que utiliza una firma digital emitida por Microsoft para introducirse en los equipos de sus víctimas aprovechando el proceso de certificación de drivers.

La firma digital válida ayuda al atacante a eludir las medidas de seguridad y las restricciones del sistema operativo para cargar módulos de terceros en el kernel. Una vez cargado, FiveSys permite a sus creadores obtener privilegios ilimitados de forma virtual.

Al hacer este descubrimiento, Bitdefender ha alertado rápidamente a Microsoft, que ya ha invalidado los certificados afectados. A pesar de ello, los expertos de Bitdefender consideran que existe una alta probabilidad de que el grupo de ciberdelincuentes vuelva a intentar la misma práctica en otras regiones. De momento, FiveSys ha estado activo más de un año y ha afectado, sobre todo, a grupos de jugadores online de China, robando credenciales y llevando a cabo prácticas de hijacking.

TAGS