Microsoft ha recentemente documentato un intrigante incidente di sicurezza informatica che ha coinvolto un attore di minacce che ha distribuito driver dannosi in ambienti di gioco.
Il driver Netfilter: una minaccia per la comunità di gioco
Evidentemente, l'autore della minaccia ha inviato un driver specifico chiamato Netfilter, costruito da una terza parte, per le certificazioni tramite i programmi di compatibilità hardware di Windows. Il suddetto account è ora rimosso, e tutti i suoi invii sono stati esaminati per segni di malware, Microsoft ha detto.
Correlata: L'operazione Facefish: Linux preso di mira da nuovi backdoor e rootkit
"L'attività dell'attore è limitata al settore dei giochi in particolare in Cina e non sembra mirare agli ambienti aziendali," l'azienda specificato. Sembra che l'obiettivo dell'intera operazione sia utilizzare il driver per falsificare le geolocalizzazioni e ingannare il sistema per riprodurlo da qualsiasi luogo. Il malware offre agli attori delle minacce il vantaggio di ottenere prestazioni migliori nei giochi, e "possibilmente sfruttare altri giocatori compromettendo i loro account attraverso strumenti comuni come i keylogger".
È interessante notare che il driver dannoso è stato individuato per la prima volta dal ricercatore di sicurezza Karsten Hahn e dalla sua azienda G Data.
"La scorsa settimana il nostro sistema di allerta ci ha notificato un possibile falso positivo perché abbiamo rilevato un conducente di nome “Filtro rete” che è stato firmato da Microsoft. Da Windows Vista, qualsiasi codice eseguito in modalità kernel deve essere testato e firmato prima del rilascio pubblico per garantire la stabilità del sistema operativo. I driver senza certificato Microsoft non possono essere installati per impostazione predefinita,Hahn ha scritto nel suo articolo descrivendo in dettaglio i risultati.
Poiché il rilevamento si è rivelato un falso positivo, il ricercatore ha inoltrato i risultati a Microsoft. La società ha risposto aggiungendo rapidamente firme malware a Windows Defender. Attualmente, il rootkit ha un tasso di rilevamento significativo attivo VirusTotal, con 35 su 68 motori di sicurezza che lo rilevano. Alcuni rilevamenti includono Trojan.Agent.NtRootKit, Trojan.Agent, Trojan.NtRootKit, etc. Non è ancora noto come il driver abbia superato con successo il processo di firma di Microsoft.
Una delle cose interessanti di Netfilter è che alcune delle sue stringhe sono state codificate. Come sottolineato da Hanh, è strano che un autista offuschi parte delle loro corde. Nel corso della sua analisi, il ricercatore ha anche trovato campioni simili su VirusTotal, con il più antico risalente a marzo 2021.
Per quanto riguarda le funzionalità principali del malware, sembra essere il reindirizzamento IP. È anche interessante notare che il rootkit ha ricevuto un certificato radice tramite un percorso specifico (hxxp://110.42.4.180:2081/c), scrivendolo a \Registro di sistemaMacchinaSOFTWAREMicrosoftSystemCertificatesROOTCertificates.
Infine, le tecniche utilizzate nell'attacco avvengono in una fase di post-sfruttamento. Ciò significa che l'attore della minaccia deve disporre dei diritti amministrativi sul sistema per poter eseguire il programma di installazione, aggiorna il registro, e installa il driver Netfilter dannoso. Questo modo, assicura il caricamento al prossimo avvio del sistema.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: