Система верифікації драйверів microsoft в черговий раз дала збій. Цього разу-в ігровій екосистемі китаю. Тут поширюється руткіт fivesys, успішно пройшов сертифікацію під виглядом драйвера. Це вже другий випадок, який отримав популярність з червня поточного року.

Darkreading.com

Експерти з кібербезпеки встановили, що руткіт з дійсним цифровим підписом microsoft поширюється серед геймерів кнр. Як повідомляють експерти bitdefender, пз fivesys використовується для перенаправлення трафіку на контрольований зловмисниками проксі-сервер і, схоже, експлуатується злочинцями, що мають особливий інтерес до ігрового ринку китаю. Основною метою, як вважається, є крадіжка ідентифікаційних та платіжних даних гравців.

Fivesys став вже другим відомим зразком шкідливого пз, що отримав цифровий підпис microsoft за останні місяці. У червні компанія g-data повідомила, що її фахівці виявили руткіт netfilter, який також мав цифровий підпис компанії і теж поширювався серед китайських геймерів. При цьому експерти не знаходять прямого зв’язку між інцидентами.

«причина, по якій драйверам необхідно отримати цифровий підпис microsoft в тому, що операційна система більше не приймає драйвери, підписані тільки вендором», — заявляють в компанії bitdefender. З 2016 року microsoft наполягає на обов’язковій сертифікації компанією сторонніх драйверів, що пройшли процес тестування windows hardware quality labs (whql). Поки невідомо, яким чином перевіряючі переглянули шкідливий код, забезпечивши його своїм цифровим підписом.

У доповіді, випущеній на цьому тижні, bitdefender повідомляє про “сплеск” виявлень драйверів, випущених в останні місяці microsoft. У компанії вважають, що в найближчому майбутньому їх з’явиться ще більше.

” руткіти є одними з найпотужніших і затребуваних інструментів в арсеналі кіберзлочинців», — заявляють в bitdefender. У компанії заявляють, що саме вони потенційно дозволяють отримати повний контроль над скомпрометованим пристроєм, а один з найбільш ефективних способів домогтися цього — провести шкідливе пз через процес сертифікації microsoft. На думку експертів, таким же шляхом зловмисники намагаються зробити більш “легітимним” шкідливе пз для ос android, намагаючись розмістити його в офіційних магазинах додатків.

Whql-тестування microsoft є частиною програми забезпечення апаратної сумісності заліза з ос windows. Програма діє для забезпечення працездатності драйверів і стороннього пз, розроблених для комп’ютерів на windows. З 2016 року компанія вважає обов’язковим перевіряти і підписувати всі драйвери для формування додаткового рівня безпеки.