Connect with us

Deutsch

Hacker haben irgendwie eine von Microsoft ausgestellte digitale Signatur für ihr Rootkit bekommen

Published

on

Cybersicherheitsforscher von Bitdefender haben detailliert beschrieben, wie Cyberkriminelle FiveSys verwendet haben, ein Rootkit, das irgendwie den Weg zur Treiberzertifizierung geschafft hat, um von Microsoft digital signiert zu werden.

Die gültige Signatur ermöglicht es dem Rootkit – einer bösartigen Software, die es Cyberkriminellen ermöglicht, auf infizierte Computer zuzugreifen und diese zu kontrollieren –, als gültig zu erscheinen und die Beschränkungen des Betriebssystems zu umgehen und das zu erlangen, was Forscher als “praktisch unbegrenzte Privilegien” bezeichnen.

Es ist bekannt, dass Cyberkriminelle gestohlene digitale Zertifikate verwenden, aber in diesem Fall haben sie es geschafft, ein gültiges zu erhalten. Es ist immer noch ein Rätsel, wie Cyberkriminelle an ein gültiges Zertifikat gelangen konnten.

„Die Chancen stehen gut, dass es zur Validierung eingereicht wurde und irgendwie die Prüfungen bestanden hat. Während die Anforderungen an die digitale Signatur die meisten Rootkits erkennen und stoppen, sind sie nicht narrensicher“, sagte Bogdan Botezatu, Direktor für Bedrohungsforschung und Berichterstattung bei Bitdefender gegenüber ZDNet.

Es ist ungewiss, wie FiveSys tatsächlich verbreitet wird, aber Forscher glauben, dass es mit gecrackten Software-Downloads gebündelt ist.

SEHEN: Eine erfolgreiche Strategie für Cybersicherheit (ZDNet-Sonderbericht)

Nach der Installation leitet das FiveSys-Rootkit den Internetverkehr an einen Proxy-Server um, indem es ein benutzerdefiniertes Root-Zertifikat installiert, damit der Browser nicht vor der unbekannten Identität des Proxys warnt. Dadurch wird auch verhindert, dass andere Malware auf die Treiber schreibt, was wahrscheinlich ein Versuch ist, andere Cyberkriminelle davon abzuhalten, das kompromittierte System auszunutzen.

Die Analyse der Angriffe zeigt, dass das FiveSys-Rootkit bei Cyberangriffen gegen Online-Spieler verwendet wird, um Zugangsdaten zu stehlen und In-Game-Käufe zu kapern.

Die Popularität von Online-Spielen bedeutet, dass viel Geld im Spiel sein kann – nicht nur, weil Bankdaten mit Konten verknüpft sind, sondern auch, weil prestigeträchtige virtuelle Gegenstände beim Verkauf große Geldsummen einbringen können, was bedeutet, dass Angreifer den Zugang ausnutzen könnten, um diese zu stehlen und zu verkaufen Produkte.

Derzeit zielen die Angriffe auf Spieler in China – von dort gehen Forscher auch davon aus, dass die Angreifer von dort aus operieren.

Die Kampagne startete langsam Ende 2020, wurde aber im Laufe des Sommers 2021 massiv ausgeweitet. Die Kampagne ist nun blockiert, nachdem Forscher von Bitdefender Microsoft den Missbrauch des digitalen Vertrauens gemeldet haben, das die Unterschrift widerrufen hat. ZDNet kontaktierte Microsoft, hatte aber zum Zeitpunkt der Veröffentlichung keine Antwort erhalten.

Während das Rootkit derzeit verwendet wird, um Zugangsdaten von Spielkonten zu stehlen, ist es möglich, dass es in Zukunft auf andere Ziele gerichtet wird. Aber mit relativ einfachen Vorkehrungen für die Cybersicherheit ist es möglich, diesem oder ähnlichen Angriffen nicht zum Opfer zu fallen.

„Aus Sicherheitsgründen empfehlen wir Benutzern, Software nur von der Website des Anbieters oder von vertrauenswürdigen Ressourcen herunterzuladen. Darüber hinaus können moderne Sicherheitslösungen dabei helfen, Malware – einschließlich Rootkits – zu erkennen und ihre Ausführung zu blockieren, bevor sie beginnen können“, sagte Botezatu . .

MEHR ZU CYBERSICHERHEIT

Continue Reading

Copyright © 2021 Meta Mag Inc.