Clicky

Hackers engañan a Microsoft para que firme el controlador Netfilter cargado con malware de rootkit

Categoría: Seguridad
Visitas: 873
Rootkit malware

La muestra más antigua de Netfilter detectada en VirusTotal se remonta al 17 de marzo de 2021

Microsoft dijo el viernes que está investigando un incidente en el que un controlador firmado por la compañía resultó ser un rootkit malicioso de Windows que se observó comunicándose con servidores de comando y control (C2) ubicados en China.

Se dice que el controlador, llamado "Netfilter", apunta a entornos de juego, específicamente en el país del este de Asia, y la firma con sede en Redmond señaló que "el objetivo del actor es usar el controlador para falsificar su ubicación geográfica para engañar al sistema y jugar desde cualquier lugar".

"El malware les permite obtener una ventaja en los juegos y posiblemente explotar a otros jugadores comprometiendo sus cuentas a través de herramientas comunes como keyloggers", dijo el Centro de Respuesta de Seguridad de Microsoft (MSRC).

Karsten Hahn, un analista de malware de la empresa alemana de ciberseguridad G Data, descubrió la firma del código malicioso, quien compartió detalles adicionales del rootkit, incluido un cuentagotas (dropper), que se utiliza para implementar e instalar Netfilter en el sistema.

firmas Microsoft Netfilter

Tras la instalación exitosa, se encontró que el controlador establecía conexión con un servidor C2 para recuperar información de configuración, que ofrecía una serie de funcionalidades como la redirección de IP, entre otras capacidades para recibir un certificado raíz e incluso auto-actualizar el malware.

código Microsoft Netfilter

La muestra más antigua de Netfilter detectada en VirusTotal se remonta al 17 de marzo de 2021, dijo Hahn.

Microsoft señaló que el actor envió el controlador para su certificación a través del Programa de compatibilidad de hardware de Windows (WHCP) y que los controladores fueron creados por un tercero. Desde entonces, la compañía suspendió la cuenta y revisó sus presentaciones en busca de signos adicionales de malware.

El fabricante de Windows también enfatizó que las técnicas empleadas en el ataque ocurren después de la explotación, lo que requiere que el adversario haya obtenido previamente privilegios administrativos para poder instalar el controlador durante el inicio del sistema o engañar al usuario para que lo haga en su nombre.

Además, Microsoft dijo que tiene la intención de refinar sus políticas de acceso para socios, así como su proceso de validación y firma para mejorar aún más las protecciones.

"El panorama de la seguridad continúa evolucionando rápidamente a medida que los actores de amenazas encuentran nuevos e innovadores métodos para obtener acceso a entornos a través de una amplia gama de vectores", dijo MSRC, destacando una vez más cómo los actores de amenazas pueden explotar los procesos legítimos para facilitar ataques a gran escala a la cadena de suministro de software.