AccueilActualités informatiqueLe retour des rootkits - signé par Microsoft

Le retour des rootkits – signé par Microsoft

Ils sont de retour ! Dans un rapport de recherche, la société de sécurité Bitdefender documente la résurgence accrue des rootkits au cours des derniers mois. Ces programmes malveillants extrêmement malveillants sont utilisés pour donner aux cybercriminels un accès permanent à des systèmes étrangers. Pour ce faire, ils se nichent dans le noyau du système d’exploitation et se cachent, ainsi que leurs activités, du système d’exploitation et des scanners de logiciels malveillants. Avec l’introduction des mesures de protection de Windows Vista, selon lesquelles le code qui s’exécute en mode noyau doit être testé et signé avant d’être publié, l’épouvante était initialement terminée.

Le FiveSys maintenant découvert est le deuxième rootkit en quelques mois qui possède une signature numérique valide émise par Microsoft via le processus de certification WHQL. Avec une telle signature, les attaquants sont en mesure de contourner les restrictions du système d’exploitation et de charger leurs propres modules dans le noyau.

Il est frappant de constater que les criminels procèdent différemment que par le passé : alors que dans le passé ils utilisaient des certificats numériques volés à des entreprises pour signer leurs pilotes, dans le cas de FiveSys et il y a quelques mois avec le rootkit Netfilter, ils ont réussi à infiltrer les pilotes dans le processus de certification de Microsoft et à les faire signer. Après que Bitdefender ait informé Microsoft de l’abus, la société a rappelé la signature.

L’origine des activités observées remonte à la Chine. Les chercheurs en sécurité soupçonnent différents auteurs derrière les rootkits, car les implémentations diffèrent considérablement. Cependant, les fonctions sont les mêmes : les rootkits sont censés rediriger le trafic Internet vers un serveur proxy spécial. Pour ce faire, le pilote utilise localement un script pour l’autoconfiguration du proxy pour le navigateur. Pour limiter l’accès des concurrents au système compromis, le rootkit bloque le chargement des pilotes d’autres groupes de logiciels malveillants en utilisant une liste noire de signatures numériques. Actuellement, les machinations visent l’industrie du jeu, en particulier le vol d’informations d’identification et le détournement d’achats dans le jeu (in-game purchase hijacking).

Les chercheurs y voient le début d’une évolution : puisque les criminels ont apparemment trouvé un moyen de contourner les spécifications de sécurité de Microsoft, il faut s’attendre à l’avenir à d’autres cas où des logiciels malveillants dotés de signatures numériques spécialement émises feront des ravages. De plus amples détails techniques et les indicateurs de compromission peuvent être trouvés dans le livre blanc de Fivesys.

Lire aussi :

  • Chercheurs en sécurité : le cloud de Microsoft distribue trop légèrement les logiciels malveillants
  • Détecter et combattre les ransomwares

Plus d'articles