Indagine su Fivesys: la firma digitale rilasciata da Microsoft non autorizzata

Contenuti

• Cos'è un rootkit?
• Che cos'è il rootkit Fivesys?
• Come ha ottenuto la firma digitale di Microsoft?
• Come sbarazzarsi di rootkit come Fivesys?
  • 1. Utilizzare il software di rimozione del rootkit.
  • 2. Eseguire una scansione all'avvio.
  • 3. Pulisci il dispositivo e reinstalla il sistema operativo.
• Cosa possiamo fare per proteggerci dai rootkit?
• Avvolgendo

Gli hacker hanno approfittato di un rootkit, o software dannoso che concede l'accesso non autorizzato a un sistema informatico , che in qualche modo ha ottenuto il sigillo di approvazione digitale di Microsoft. Questa scoperta allarmante solleva importanti interrogativi su quanto siamo vulnerabili al software dannoso. Diamo un'occhiata più da vicino a questo rootkit e a come ha aggirato i protocolli di sicurezza di Microsoft.

Cos'è un rootkit?

I rootkit sono strumenti software dannosi che i criminali informatici possono utilizzare per ottenere il controllo dei sistemi informatici. Questi strumenti consentono agli aggressori di nascondere malware e attività dannose o persino di accedere a un sistema senza essere rilevati.

I rootkit sono stati i predatori all'apice del crimine informatico più di un decennio fa. Questi programmi informatici nascosti sono stati progettati per fornire agli aggressori un punto d'appoggio ininterrotto sui computer delle vittime, nascondendo le attività dannose dal sistema operativo e dalle soluzioni antimalware.

Le mitigazioni della sicurezza introdotte con Windows Vista hanno sfrattato questi intrusi che vivevano all'interno del kernel del sistema operativo, ma occasionalmente riappaiono.

I rootkit possono contenere backdoor, keylogger, malware per il furto di dati, script dannosi e altri metodi sofisticati che rendono difficile il rilevamento da parte del proprietario o dell'amministratore del sistema. Sfruttando le vulnerabilità, possono assumere il controllo di un sistema senza richiedere le credenziali utente e accedere alle informazioni riservate memorizzate su di essi.

In quanto tali, rappresentano una pericolosa minaccia per la sicurezza informatica che non deve essere presa alla leggera . Infatti, man mano che le minacce rootkit diventano più avanzate e sofisticate, è sempre più essenziale per le organizzazioni e gli individui rimanere informati sui più recenti meccanismi di difesa disponibili e aggiornare regolarmente i propri sistemi per proteggersi da tali attacchi.

Che cos'è il rootkit Fivesys?

Secondo un recente rapporto della società di sicurezza informatica Bitdefender, i criminali elettronici hanno utilizzato un rootkit soprannominato "FiveSys" che ha stranamente ricevuto una firma elettronica da Microsoft.

Il programma dannoso avrebbe concesso agli aggressori "privilegi praticamente illimitati" sui sistemi infetti e gli hacker lo hanno utilizzato per prendere di mira i giocatori online per furto di credenziali e dirottamento degli acquisti in-game. Secondo i ricercatori, "FiveSys" potrebbe anche essere reindirizzato ad altri tipi di furto di dati.

A causa dell'inclusione di un certificato del driver Microsoft Windows Hardware Quality Labs Testing (WHQL) dall'aspetto legittimo, il rootkit FiveSys è stato in grado di ottenere l'accesso ai sistemi mirati.

WQOS genera una firma digitale unica nel suo genere che consente l'installazione di driver certificati su un computer Windows tramite il programma Windows Update ufficiale, dando fiducia agli utenti finali. Una volta caricato, il rootkit concede ai suoi creatori privilegi quasi illimitati.

Bitdefender, una società di sicurezza, ha scoperto l'aumento dei driver dannosi con firme elettroniche valide. Secondo la società, il rootkit in questione consente agli aggressori di eludere la sicurezza e ottenere l'accesso e il controllo di un sistema mirato reindirizzando il traffico HTTP e HTTPS ai domini sui server proxy controllati dagli aggressori.

Il certificato WHQL compromesso è simile a quello utilizzato nel rootkit Netfilter, scoperto all'inizio di quest'anno. Fivesys è il secondo rootkit a utilizzare un certificato Microsoft e Bitdefender prevede che più attacchi utilizzeranno certificati driver legittimi.

Secondo Bitdefender, FiveSys ha avuto origine in Cina ed è stato visto principalmente prendere di mira i giocatori di giochi online cinesi. Secondo la società di sicurezza, l'obiettivo finale è ottenere il controllo delle credenziali nei giochi per effettuare acquisti in-game. Fivesys deve ancora essere avvistato in natura al di fuori della Cina.

La casualità con cui questo rootkit reindirizza il traffico compromesso ne rende difficile la rimozione. Per complicare i potenziali tentativi di rimozione, il rootkit include un elenco di 300 domini sul TLD ".xyz" che sembrano essere generati in modo casuale e archiviati in forma crittografata all'interno del file binario.

Per proteggersi, il rootkit impiega una varietà di strategie, tra cui impedire la possibilità di modificare il registro e impedire l'installazione di altri rootkit e malware di vari gruppi.

A causa del modello casuale, è difficile identificare e chiudere i domini. Bitdefender, da parte sua, ha immediatamente contattato Microsoft in merito all'utilizzo del certificato del driver WHQL. Microsoft ha rapidamente revocato la firma elettronica.

Come ha ottenuto la firma digitale di Microsoft?

È noto che i criminali informatici utilizzano certificati digitali rubati, ma in questo caso sono riusciti a ottenerne uno valido. Non è ancora chiaro come i criminali informatici siano riusciti a ottenere un certificato valido.

Le firme digitali sono algoritmi che le aziende e altre grandi organizzazioni utilizzano per la sicurezza. Le firme elettroniche generano una "impronta digitale virtuale" collegata a entità specifiche e vengono utilizzate per verificarne l'affidabilità. Come misura di sicurezza, Microsoft utilizza un processo di firma digitale per rifiutare i programmi che non sembrano provenire da fonti attendibili.

Tuttavia, i protocolli di sicurezza dell'azienda sembrano non essere all'altezza del rootkit "FiveSys" e dei suoi gestori di criminali informatici , che sono riusciti a far firmare il loro programma dannoso con il timbro di approvazione digitale di Microsoft. Non è chiaro come abbiano ottenuto questo risultato.

Potrebbe essere stato inviato per la convalida e in qualche modo ha superato i controlli. Sebbene i requisiti di firma digitale rilevino e blocchino la maggior parte dei rootkit, non sono infallibili. Non è chiaro come si diffonda FiveSys, ma i ricercatori ritengono che sia in bundle con download di software crackati.

Una volta installato, il rootkit FiveSys reindirizza il traffico Internet a un server proxy, cosa che fa installando un certificato root personalizzato in modo che il browser non avvisi dell'identità sconosciuta del proxy; impedisce inoltre ad altri malware di scrivere sui driver, molto probabilmente nel tentativo di impedire ad altri criminali informatici di sfruttare il sistema compromesso.

Secondo l'analisi degli attacchi, il rootkit FiveSys viene utilizzato negli attacchi informatici contro i giocatori online per rubare le credenziali di accesso e dirottare gli acquisti in-game.

A causa della popolarità dei giochi online, possono essere coinvolti molti soldi, non solo perché le informazioni bancarie sono collegate agli account, ma anche perché prestigiosi oggetti virtuali possono ottenere ingenti somme di denaro quando vengono venduti, il che implica che gli aggressori potrebbero sfruttare l'accesso per rubare e vendere questi articoli.

Attualmente, gli attacchi sono rivolti ai giocatori in Cina, dove i ricercatori ritengono che abbiano sede anche gli aggressori.

Come sbarazzarsi di rootkit come Fivesys?

La rimozione di rootkit come Fivesys può essere un compito arduo e complesso. La maggior parte delle soluzioni antivirus non rileva questi programmi dannosi, quindi è essenziale adottare misure proattive contro di essi. Il primo passo è completare una scansione approfondita del tuo computer che rilevi ed elimini i rootkit. Successivamente, segui questi passaggi:

1. Utilizzare il software di rimozione del rootkit.

Non fare affidamento su Windows Defender o altri software di sicurezza integrati perché la maggior parte dei rootkit può aggirare le misure di sicurezza essenziali. Usa un software specializzato come Avast One per una protezione completa. Avast combina la rete di rilevamento delle minacce più grande del mondo con la protezione da malware basata sull'apprendimento automatico in un unico strumento leggero in grado di rilevare e rimuovere i rootkit e difendersi da tutti i tipi di future minacce online.

2. Eseguire una scansione all'avvio.

Il malware moderno utilizza tecniche sofisticate per evitare il rilevamento da parte del software antivirus. I rootkit su un dispositivo che esegue un sistema operativo possono superare in astuzia le scansioni antivirus automatiche.

Se un programma antivirus richiede che il sistema operativo apra un file malware specifico, il rootkit può alterare il flusso di dati e aprire invece un file innocuo. Possono anche alterare il codice di enumerazione di un file malware, che archivia e condivide informazioni sul malware e ne impedisce l'inclusione in una scansione.

I rootkit vengono rilevati durante il processo di avvio del computer mediante scansioni all'avvio. Il vantaggio di una scansione all'avvio è che il rootkit è solitamente ancora dormiente e incapace di nascondersi nel sistema.

3. Pulisci il dispositivo e reinstalla il sistema operativo.

Se il software antivirus e una scansione all'avvio non riescono a rimuovere il rootkit, prova a eseguire il backup dei dati, a cancellare i dati del dispositivo e a eseguire l'installazione da zero. Questa a volte è l'unica opzione quando un rootkit opera a livello di avvio, firmware o hypervisor.

Innanzitutto, devi capire come formattare un disco rigido e clonare un disco rigido per eseguire il backup dei tuoi file essenziali. Anche se potrebbe essere necessario cancellare l'unità C: principale, è comunque possibile conservare la maggior parte dei dati. Questa è l'ultima opzione per rimuovere un rootkit.

Il frequente aggiornamento del software antimalware contribuirà anche a mantenere il sistema al sicuro da nuovi tentativi di intrusione. Con queste tecniche in atto, gestire i rootkit esistenti ed emergenti come Fivesys dovrebbe diventare molto più semplice.

Cosa possiamo fare per proteggerci dai rootkit?

I rootkit sono una seria minaccia alla sicurezza che può essere difficile da rilevare e rimuovere, ma è possibile adottare misure preventive per ridurre le possibilità. Ad esempio, mantenere il sistema operativo e il software aggiornati garantisce di non diventare vulnerabili a vettori di attacco noti per l'installazione di rootkit. Una buona gestione delle patch è fondamentale qui, e anche il software antivirus è un must: tieniti aggiornato con le definizioni dei virus in modo che gli aggressori abbiano meno opzioni.

Fai attenzione anche quando scarichi qualcosa: assicurati sempre che provenga da fonti affidabili e abbia buone recensioni. Disabilita i driver o gli eseguibili non firmati, in quanto possono essere punti di ingresso vulnerabili per i rootkit. Infine, un robusto firewall o proxy di filtraggio web aiuterà a bloccare gli aggressori che tentano di sfruttare le vulnerabilità nei sistemi privi di patch. Tutte queste misure preventive offrono le migliori possibilità di mitigare le infezioni da rootkit.

Sebbene il rootkit sia attualmente utilizzato per rubare le credenziali di accesso dagli account di gioco, in futuro potrebbe essere utilizzato contro altri obiettivi. Tuttavia, adottando alcune semplici precauzioni di sicurezza informatica, puoi evitare di cadere vittima di questo o di attacchi simili.

Per sicurezza, scarica il software solo dal sito Web del fornitore o da fonti attendibili. Inoltre, le moderne soluzioni di sicurezza possono rilevare malware, inclusi i rootkit, e impedirne l'esecuzione.

È essenziale adottare misure per proteggersi da software dannosi come FiveSys. Assicurati di mantenere i tuoi sistemi aggiornati con le ultime patch: questo ti aiuterà a proteggerti da minacce note come questa.

Inoltre, utilizza un software antivirus affidabile per cercare attività sospette o software dannoso sui tuoi sistemi informatici. Infine, fai attenzione ai tentativi di phishing; non fare clic su collegamenti o aprire allegati da fonti sconosciute poiché potrebbero contenere malware come Kovter.

CONSIGLIATO

Risolvi i problemi del PC con Auslogics BoostSpeed

Oltre a pulire e ottimizzare il tuo PC, BoostSpeed ​​protegge la privacy, diagnostica i problemi hardware, offre suggerimenti per aumentare la velocità e fornisce oltre 20 strumenti per coprire la maggior parte delle esigenze di manutenzione e assistenza del PC.

Auslogics BoostSpeed ​​è un prodotto di Auslogics, Microsoft Silver Application Developer certificato

DOWNLOAD GRATUITO

Avvolgendo

Gli aggiornamenti "Patch Tuesday" di Microsoft scoprono e correggono costantemente nuove vulnerabilità zero-day. Apple si è anche affrettata a patchare macOS all'inizio di quest'anno dopo che i ricercatori hanno trovato un modo per aggirare il suo GateKeeper, la quarantena dei file e i meccanismi di sicurezza dell'autenticazione utilizzando malware camuffato da un normale file di documento.

Apple ha anche rilasciato nuove versioni di tutti e quattro i sistemi operativi un giorno prima del lancio principale del prodotto di settembre per affrontare problemi di sicurezza come una vulnerabilità causata dallo spyware Pegasus di NSO Group, che potrebbe installare malware sugli iPhone degli obiettivi a loro insaputa.

La scoperta di FiveSys ha portato l'attenzione su quanto siamo vulnerabili quando si tratta di software dannoso che supera i nostri protocolli di sicurezza senza essere rilevato utilizzando certificati digitali che sembrano legittimi ma contraffatti. L'adozione di misure proattive ci aiuterà a proteggerci da tali attacchi; mantenere i nostri sistemi aggiornati con le patch più recenti, utilizzare un software antivirus affidabile ed essere consapevoli dei tentativi di phishing può fare molto per proteggerci da programmi dannosi come rootkit come FiveSys.