Una recente ricerca condotta dal team di sicurezza Talos di Cisco ha messo in evidenza che alcuni cybercriminali hanno sfruttato due software open source per raggiungere il kernel di Windows con driver dannosi e agire indisturbati sui computer degli utenti presi di mira, per persistenza furtiva, esfiltrazione di dati non rilevabile e la possibilità di terminare quasi tutti i processi.
Windows: software di cheat gaming usati dai cybercrminali
I software oggetto della questione sono HookSignToo e FuckCertVerifyTimeValidit, sono particolarmente apprezzati dai videogiocatori, possono essere scaricati da GitHub e consentono di eseguire dei cheat all’interno del kernel di Windows.
Di seguito riportiamo, in forma tradotta, quanto espressamente dichiarato dagli esperti di sicurezza al riguardo.
Durante la nostra ricerca abbiamo identificato gli attori delle minacce che sfruttano HookSignTool e FuckCertVerifyTimeValidity, strumenti di contraffazione del timestamp della firma che sono stati resi disponibili rispettivamente dal 2019 e dal 2018, per distribuire driver dannosi.
Da tenere presente che a partire da Windows Vista, Microsoft ha introdotto delle modifiche ai criteri che limitano il modo in cui i driver, spesso attenzionati dai malintenzionati, in modalità kernel del sistema operativo possono essere caricati, richiedendo agli sviluppatori di inviare i loro driver per la revisione e firmarli tramite il portale per gli sviluppatori di Microsoft.
Per evitare problemi con le vecchie applicazioni, però, Microsoft ha implementato alcune eccezioni che permettevano ai driver della modalità kernel più vecchi di continuare a venire caricati.
I cybercrminali stanno sfruttando a loro favore la cosa, andando a modificare la firma dei driver dannosi prima del 29 luglio 2015. In tal modo, diventa possibile usare certificati più vecchi, trapelati e non revocati per firmare i driver e caricarli in Windows per l’escalation dei privilegi.