Os autores de rootkit podem ter encontrado uma maneira de abusar do processo de assinatura digital, argumentam os pesquisadores de segurança.
Os pesquisadores de segurança cibernética descobriram outro rootkit que abusa do processo de assinatura do Windows Hardware Quality Labs (WHQL) da Microsoft.
Pesquisadores do fornecedor de segurança Bitdefender descobriram o rootkit FiveSys, que é o segundo rootkit que encontraram que conseguiu passar pelo processo de
certificação de driver da Microsoft.
“A maioria dos casos de rootkit que documentamos no passado dependem de certificados
digitais roubados de empresas legítimas, então até recentemente os criadores de
malware usavam certificados digitais roubados para assinar os seus drivers”,
observou Bitdefender, observando a mudança nas táticas.
De acordo com a análise deles, o FiveSys parece ter sido projetado para ter como alvo os jogos online, a fim de roubar suas credenciais e sequestrar as compras no jogo.
Abusando do processo
A Bitdefender acredita que FiveSys e o rootkit Netfilter, que foi o primeiro a abusar do processo de assinatura digital da Microsoft, não são incidentes isolados e talvez apontem para uma nova tendência de malware usando assinaturas WHQL.
A base para seu argumento são os novos requisitos de assinatura de driver da Microsoft, que exigem que os drivers sejam assinados digitalmente pela empresa para que sejam aceitos pelo Windows.
“Este novo requisito garante que todos os drivers sejam validados e assinados pelo
fornecedor do sistema operacional em vez do desenvolvedor original e, como tal,
as assinaturas digitais não oferecem nenhuma indicação quanto à identidade do
desenvolvedor real”, diz o Bitdefender sugerindo que se submetam ao processo
ajuda os atores da ameaça a ocultar a sua identidade.
Embora as suas motivações pareçam claras, como exatamente eles conseguiram contornar o processo de certificação para obter certificados legítimos, continua a ser um mistério.
Logo depois de descobrir o malware, porém, o Bitdefender entrou em contato com a Microsoft para sinalizar esse abuso de confiança digital, levando a gigante do software a revogar a assinatura.