A Microsoft documentou recentemente um acidente intrigante de segurança cibernética envolvendo um ator de ameaça que distribuiu drivers maliciosos em ambientes de jogos.
O driver Netfilter: uma ameaça para a comunidade de jogos
Evidentemente, o agente da ameaça enviou um driver específico chamado Netfilter, construído por um terceiro, para certificações por meio dos Programas de Compatibilidade de Hardware do Windows. A referida conta foi removida, e todos os seus envios foram analisados em busca de sinais de malware, Microsoft disse.
relacionado: A operação Facefish: Linux direcionado por novo backdoor e rootkit
“A atividade do ator é limitada ao setor de jogos especificamente na China e não parece visar ambientes empresariais," a empresa Especificadas. Parece que o objetivo de toda a operação é usar o driver para falsificar localizações geográficas e enganar o sistema para reproduzi-lo de qualquer lugar. O malware oferece aos agentes de ameaças a vantagem de ter um melhor desempenho em jogos, e “possivelmente explorar outros jogadores comprometendo suas contas por meio de ferramentas comuns como keyloggers”.
É digno de nota que o driver malicioso foi identificado pela primeira vez pelo pesquisador de segurança Karsten Hahn e sua empresa G Data.
“Na semana passada, nosso sistema de alerta nos notificou de um possível falso positivo porque detectamos um motorista chamado “Netfilter” que foi assinado pela Microsoft. Desde o Windows Vista, qualquer código executado no modo kernel deve ser testado e assinado antes do lançamento público para garantir a estabilidade do sistema operacional. Drivers sem um certificado Microsoft não podem ser instalados por padrão,”Hahn escreveu em seu artigo detalhando as descobertas.
Uma vez que a detecção acabou sendo um falso positivo, o pesquisador encaminhou as descobertas para a Microsoft. A empresa respondeu adicionando rapidamente assinaturas de malware ao Windows Defender. atualmente, o rootkit tem uma taxa de detecção significativa em VirusTotal, com 35 fora de 68 mecanismos de segurança detectando isso. Algumas detecções incluem Trojan.Agent.NtRootKit, Trojan.Agent, Trojan.NtRootKit, etc. Ainda não se sabe como o driver passou no processo de assinatura da Microsoft com sucesso.
Uma das coisas interessantes sobre o Netfilter é que algumas de suas strings foram codificadas. Conforme apontado por Hanh, é estranho que um driver ofusque parte de suas cordas. Durante a sua análise, o pesquisador também encontrou amostras semelhantes no VirusTotal, com o mais antigo datando de março 2021.
Quanto à funcionalidade principal do malware, parece ser redirecionamento de IP. Também é importante notar que o rootkit recebeu um certificado raiz por meio de um caminho específico (hxxp://110.42.4.180:2081/c), escrevendo para \Registry Machine SOFTWARE Microsoft SystemCertificates ROOT Certificates .
Finalmente, as técnicas utilizadas no ataque ocorrem em uma fase de pós-exploração. Isso significa que o agente da ameaça deve ter direitos administrativos no sistema para poder executar o instalador, atualize o registro, e instalar o driver malicioso do Netfilter. Deste jeito, garante o carregamento da próxima vez que o sistema inicializar.