Microsoft dijo el viernes que está investigando un incidente en el que un controlador firmado por la compañía resultó ser un rootkit de Windows malicioso que se observó comunicándose con servidores de comando y control (C2) ubicados en China.
Se dice que el controlador, llamado » Netfilter » , apunta a entornos de juego, específicamente en el país del este de Asia, y la firma con sede en Redmond señala que «el objetivo del actor es usar el controlador para falsificar su ubicación geográfica para engañar al sistema y jugar desde cualquier lugar «.
«El malware les permite obtener una ventaja en los juegos y posiblemente otros jugadores explotan al comprometer sus cuentas a través de herramientas comunes como los keyloggers,» Centro de Respuesta de Seguridad de Microsoft (MSRC) , dijo .
Vale la pena señalar que Netfilter también se refiere a un paquete de software legítimo , que permite el filtrado de paquetes y la traducción de direcciones de red para sistemas basados en Linux.
Microsoft apodó al malware » Retliften » , aludiendo a «netfilter» pero escrito al revés, agregando que el controlador malicioso puede interceptar el tráfico de red, agregar nuevos certificados raíz, establecer un nuevo servidor proxy y modificar la configuración de Internet sin el consentimiento del usuario.
Karsten Hahn, un analista de malware de la empresa alemana de ciberseguridad G Data, descubrió la firma del código malicioso, quien compartió detalles adicionales del rootkit, incluido un cuentagotas , que se utiliza para implementar e instalar Netfilter en el sistema.
Tras la instalación exitosa, se encontró que el controlador establecía conexión con un servidor C2 para recuperar información de configuración, que ofrecía una serie de funcionalidades como redirección de IP, entre otras capacidades para recibir un certificado raíz e incluso autoactualizar el malware.
La muestra más antigua de Netfilter detectada en VirusTotal se remonta al 17 de marzo de 2021, dijo Hahn.
Microsoft señaló que el actor envió el controlador para su certificación a través del Programa de compatibilidad de hardware de Windows ( WHCP ) y que los controladores fueron creados por un tercero. Desde entonces, la compañía suspendió la cuenta y revisó sus presentaciones en busca de signos adicionales de malware.
El fabricante de Windows también enfatizó que las técnicas empleadas en el ataque ocurren después de la explotación , lo que requiere que el adversario haya obtenido previamente privilegios administrativos para poder instalar el controlador durante el inicio del sistema o engañar al usuario para que lo haga en su en nombre de.
Además, Microsoft dijo que tiene la intención de refinar sus políticas de acceso para socios, así como su proceso de validación y firma para mejorar aún más las protecciones.
«El panorama de la seguridad continúa evolucionando rápidamente a medida que los actores de amenazas encuentran métodos nuevos e innovadores para obtener acceso a entornos a través de una amplia gama de vectores», dijo MSRC, destacando una vez más cómo los actores de amenazas pueden explotar la confianza asociada con los controladores firmados para facilitar Ataques a la cadena de suministro de software a gran escala.
Fuente: https://thehackernews.com/2021/06/hackers-trick-microsoft-into-signing.html
