Microsoft a récemment documenté un intrigant accident de cybersécurité impliquant un acteur de la menace qui a distribué des pilotes malveillants dans des environnements de jeu.
Le pilote Netfilter: une menace pour la communauté des joueurs
Évidemment, l'acteur de la menace a soumis un pilote spécifique appelé Netfilter, construit par un tiers, pour les certifications via les programmes de compatibilité matérielle Windows. Le dit compte est maintenant supprimé, et toutes ses soumissions ont été examinées à la recherche de signes de malware, Microsoft a déclaré.
en relation: L'opération Facefish: Linux ciblé par une nouvelle porte dérobée et un nouveau rootkit
« L'activité de l'acteur est limitée au secteur des jeux en particulier en Chine et ne semble pas cibler les environnements d'entreprise," l'entreprise spécifié. Il semble que le but de toute l'opération soit d'utiliser le pilote pour usurper les géolocalisations et tromper le système pour le jouer de n'importe où. Le malware donne aux acteurs de la menace l'avantage de mieux performer dans les jeux, et « exploiter éventuellement d'autres joueurs en compromettant leurs comptes via des outils courants tels que les enregistreurs de frappe ».
Il est à noter que le pilote malveillant a été repéré pour la première fois par le chercheur en sécurité Karsten Hahn et sa société G Data.
« La semaine dernière, notre système d'alerte nous a signalé un possible faux positif car nous avons détecté un conducteur nommé “Netfiltre” qui a été signé par Microsoft. Depuis Windows Vista, tout code qui s'exécute en mode noyau doit être testé et signé avant la publication publique pour assurer la stabilité du système d'exploitation. Les pilotes sans certificat Microsoft ne peuvent pas être installés par défaut,” Hahn a écrit dans son article détaillant les résultats.
Puisque la détection s'est avérée être un faux positif, le chercheur a transmis les résultats à Microsoft. La société a répondu en ajoutant rapidement des signatures de logiciels malveillants à Windows Defender. Actuellement, le rootkit a un taux de détection important sur VirusTotal, avec 35 de 68 les moteurs de sécurité le détectent. Certaines détections incluent Trojan.Agent.NtRootKit, Trojan.Agent, Trojan.NtRootKit, etc. On ne sait pas encore comment le pilote a réussi le processus de signature de Microsoft.
L'une des choses intéressantes à propos de Netfilter est que certaines de ses chaînes ont été codées. Comme l'a souligné Hanh, c'est bizarre qu'un conducteur brouille une partie de ses cordes. Au cours de son analyse, le chercheur a également trouvé des échantillons similaires sur VirusTotal, avec le plus ancien datant de mars 2021.
Quant à la fonctionnalité de base du malware, il semble s'agir d'une redirection IP. Il est également à noter que le rootkit a reçu un certificat racine via un chemin spécifique (hxxp://110.42.4.180:2081/c), l'écrire à \RegistreMachineSOFTWAREMicrosoftSystemCertificatesROOTCertificates.
Enfin, les techniques utilisées dans l'attaque ont lieu dans une phase post-exploitation. Cela signifie que l'acteur de la menace doit avoir des droits d'administration sur le système pour pouvoir exécuter le programme d'installation, mettre à jour le registre, et installez le pilote Netfilter malveillant. De cette façon,, il assure le chargement au prochain démarrage du système.