Un rootkit nouvellement identifié a été trouvé avec une signature numérique valide émise par Microsoft qui est utilisée pour proxy le trafic vers des adresses Internet d’intérêt pour les attaquants depuis plus d’un an ciblant les joueurs en ligne en Chine.
La société de technologie de cybersécurité basée à Bucarest, Bitdefender, a nommé le malware « CinqSys« , dénonçant ses possibles motifs de vol d’informations d’identification et de détournement d’achat dans le jeu. Le fabricant de Windows a depuis révoqué la signature à la suite d’une divulgation responsable.
« Les signatures numériques sont un moyen d’établir la confiance », ont déclaré les chercheurs de Bitdefender dans un livre blanc, ajoutant « une signature numérique valide aide l’attaquant à contourner les restrictions du système d’exploitation sur le chargement de modules tiers dans le noyau. Une fois chargé, le rootkit permet ses créateurs d’obtenir des privilèges pratiquement illimités. »
Les rootkits sont à la fois évasifs et furtifs car ils offrent aux acteurs de la menace une emprise solide sur les systèmes des victimes et dissimulent leurs actions malveillantes du système d’exploitation (OS) ainsi que des solutions anti-malware, permettant aux adversaires de maintenir une persistance prolongée même après la réinstallation du système d’exploitation ou le remplacement du disque dur.
Dans le cas de FiveSys, l’objectif principal du malware est de rediriger et d’acheminer le trafic Internet pour les connexions HTTP et HTTPS vers des domaines malveillants sous le contrôle de l’attaquant via un serveur proxy personnalisé. Les opérateurs de rootkit ont également pour pratique de bloquer le chargement des pilotes des groupes concurrents en utilisant une liste de blocage de signatures de certificats volés pour les empêcher de prendre le contrôle de la machine.
« Pour rendre les tentatives de retrait potentielles plus difficiles, le rootkit est livré avec une liste intégrée de 300 domaines sur le ‘.xyz’ [top-level domain] », ont noté les chercheurs. « Ils semblent être générés de manière aléatoire et stockés sous une forme cryptée à l’intérieur du binaire. »
Le développement marque la deuxième fois que des pilotes malveillants avec des signatures numériques valides émises par Microsoft via les laboratoires de qualité du matériel Windows (WHQL) processus de signature ont glissé entre les mailles du filet. Fin juin 2021, la société allemande de cybersécurité G Data a divulgué les détails d’un autre rootkit baptisé « Netfilter » (et suivi par Microsoft sous le nom de « Retliften »), qui, comme FiveSys, visait également les joueurs en Chine.