Per la seconda volta in quattro mesi, Microsoft ha firmato digitalmente un driver contenente malware. Dopo Netfilter, l’azienda di Redmond ha certificato il rootkit FiveSys diffuso principalmente in Cina. In seguito alla scoperta di Bitdefender e alla successiva segnalazione, Microsoft ha revocato il certificato digitale.
Certificazione WHQL per FiveSys
I rootkit sono una particolare categoria di malware che permettevano ai cybercriminali di eseguire diverse attività sul computer delle vittime, senza essere individuati dalle soluzioni di sicurezza, in quanto nascosti nel kernel del sistema operativo. Con l’introduzione di nuove protezioni in Windows Vista sembravano scomparsi dalla circolazione. Bitdefender ha invece rilevato diversi rootkit negli ultimi mesi, uno dei quali è FiveSys.
Gli esperti della software house rumena sospettano che il nuovo caso sia correlato a Netfilter, essendo entrambi originari della Cina. Anche il driver FiveSys ha ricevuto la certificazione WHQL (Windows Hardware Quality Labs) attraverso il Windows Hardware Compatibility Program (WHCP). Non è chiaro se sia stato un errore di Microsoft o se il certificato sia stato rubato in qualche modo.
Il rootkit modifica le impostazioni del browser per effettuare il redirecting del traffico HTTP e HTTPS verso un proxy server. Nel caso di HTTPS viene utilizzato un certificato root, quindi il browser non mostra nessun avviso sull’identità del proxy server. Il rootkit impedisce inoltre le modifiche delle impostazioni Internet nel registro di sistema.
Per evitare la scoperta del proxy server, FiveSys contiene un elenco di 300 domini di primo livello .xyz generati casualmente e protetti dalla crittografia. I cybercriminali hanno finora utilizzato il rootkit per il furto delle credenziali di login dei giochi online.