Sfruttando la firma digitale di Microsoft, il rootkit FiveSys consente ai cyber criminali di ottenere privilegi potenzialmente illimitati sui sistemi infetti.
Nascondersi dietro a una firma digitale di Microsoft è il nuovo modo per farla in barba ai sistemi di sicurezza e mettere a segno i cyber attacchi. Almeno è quello che succede nel caso di FiveSys, un rootkit scoperto di recente dai ricercatori di Bitdefender Labs.
Questa nuova cyber minaccia sfrutta appunto il processo di certificazione dei driver. La firma digitale valida aiuta il criminale informaticoad aggirare le misure di sicurezza, come l'antimalware ele restrizioni del sistema operativo, sul caricamento di moduli di terze parti nel kernel. Una volta caricato, FiveSys permette ai criminali informatici di ottenere privilegi potenzialmente illimitati sui sistemi infetti.
FiveSys viene utilizzato come proxy per instradare il traffico verso indirizzi internet di interesse per i cyber criminali. A quanto si apprende, la campagna FiveSys è stata attiva per più di un anno ed è stata mirata contro i giocatori online in Cina, facili bersagli per il furto di credenziali e il dirottamento degli acquisti in-game.
I risvolti positivi non mancano, perché Bitdefender ha notificato la sua scoperta alla Microsoft Digital Crime Unit (DCU), all'Europol e all'FBI e i certificati che venivano sfruttati sono stati revocati. Un chiaro esempio dell'importanza e dell'efficacia della collaborazione e condivisione di informazioni fra istituzioni e aziende private.
Il risultato ottenuto non significa che si possa abbassare la guardia. È consigliabile applicare gli Indicatori di Compromissione alle soluzioni di Endpoint Detection and Response, ai servizi di Management Detection Response e ad altre misure di sicurezza. I motivi sono due. Da una parte rimuovere eventuali minacce rimaste silenti, dall'altra prevenire ulteriori contagi, perché non è da escludere che i cyber criminali possano tentare di replicare il modello d'attacco in altri Paesi.