Microsoft documentó recientemente un intrigante accidente de ciberseguridad que involucró a un actor de amenazas que distribuyó controladores maliciosos en los entornos de juego..
El controlador de Netfilter: una amenaza para la comunidad de jugadores
Evidentemente, el actor de amenazas envió un controlador específico llamado Netfilter, construido por un tercero, para certificaciones a través de los programas de compatibilidad de hardware de Windows. La cuenta mencionada ahora está eliminada, y todos sus envíos han sido revisados para detectar signos de malware., microsoft dijo.
Relacionado: La operación Facefish: Linux dirigido por nuevas puertas traseras y rootkit
“La actividad del actor se limita al sector del juego específicamente en China y no parece apuntar a entornos empresariales," la empresa especificado. Parece que el objetivo de toda la operación es usar el controlador para falsificar ubicaciones geográficas y engañar al sistema para reproducirlo desde cualquier lugar.. El malware brinda a los actores de amenazas la ventaja de tener un mejor desempeño en los juegos, y "posiblemente explotar a otros jugadores comprometiendo sus cuentas a través de herramientas comunes como keyloggers".
Cabe destacar que el controlador malicioso fue descubierto por primera vez por el investigador de seguridad Karsten Hahn y su empresa G Data..
“La semana pasada, nuestro sistema de alerta nos notificó de un posible falso positivo porque detectamos un conductor llamado “Netfilter” que fue firmado por Microsoft. Desde Windows Vista, cualquier código que se ejecute en modo kernel debe probarse y firmarse antes del lanzamiento público para garantizar la estabilidad del sistema operativo. Los controladores sin un certificado de Microsoft no se pueden instalar de forma predeterminada,"Hahn escribió en su artículo detallando los hallazgos.
Dado que la detección resultó ser un falso positivo, el investigador envió los hallazgos a Microsoft. La compañía respondió agregando rápidamente firmas de malware a Windows Defender. Actualmente, el rootkit tiene una tasa de detección significativa en VirusTotal, con 35 de 68 motores de seguridad que lo detectan. Algunas detecciones incluyen Trojan.Agent.NtRootKit, Trojan.Agent, Trojan.NtRootKit, etc. Aún se desconoce cómo el controlador pasó con éxito el proceso de firma de Microsoft..
Una de las cosas interesantes de Netfilter es que algunas de sus cadenas estaban codificadas. Como lo señaló Hanh, es extraño que un conductor ofusque parte de sus cadenas. Durante su análisis, el investigador también encontró muestras similares en VirusTotal, con el más antiguo que data de marzo 2021.
En cuanto a la funcionalidad principal del malware, parece ser una redirección de IP. También es de destacar que el rootkit recibió un certificado raíz a través de una ruta específica. (hxxp://110.42.4.180:2081/c), escribiéndolo a \Registro Máquina SOFTWARE Microsoft SystemCertificates ROOT Certificates .
Finalmente, las técnicas utilizadas en el ataque tienen lugar en una fase posterior a la explotación. Esto significa que el actor de la amenaza debe tener derechos administrativos en el sistema para poder ejecutar el instalador., actualizar el registro, e instale el controlador malicioso de Netfilter. De esta manera, Asegura que se cargue la próxima vez que se inicie el sistema..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: