Un driver, signé électroniquement par Microsoft, s'est révélé être un rootkit, tel que l'ont découvert les chercheurs de Bitdefender.
C'est la deuxième fois en quelques mois qu'un driver signé par les services de validation de Microsoft est en réalité un logiciel malveillant.
Un rootkit qui redirige le trafic internet
Pour la deuxième fois en quelques mois, un driver possédant une signature WHQL, certifiant normalement qu'il a été vérifié par Microsoft, était en vérité un rootkit. C'est ce qu'ont découvert les chercheurs de Bitdefender en se penchant sur FiveSys. Comme pour Netfilter avant lui, les créateurs du rootkit ont réussi contourner le système et à obtenir une certification de la part de l'entreprise, leur permettant de gagner la confiance des utilisateurs et d'avoir accès à des fonctionnalités sur le système d'exploitation qui leur sont normalement interdites.
Une fois sur la machine de sa victime, le rootkit redirige le trafic internet de la machine infectée à travers un proxy personnalisé, choisi parmi une liste de 300 domaines. Il installe un certificat racine personnalisé pour faire fonctionner la redirection HTTPS, afin d'éviter que le navigateur prévienne l'utilisateur que l'identité du serveur proxy est inconnue. Il se protège en empêchant les modifications du registre et empêche également l'installation de rootkits et de malwares provenant d'autres groupes.
Un rootkit concentré sur la Chine
D'après Bitdefender, FiveSys serait en activité depuis plus d'un an. Il ne se serait pas propagé en dehors de la Chine pour le moment, ses créateurs semblant particulièrement intéressés par ce marché. Les chercheurs pensent qu'il vise particulièrement les jeux en ligne, dans le but de voler des identifiants et détourner les achats faits en jeu.
Les chercheurs ont prévenu Microsoft de leurs trouvailles et l'entreprise a révoqué la signature accordée au faux driver. Bitdefender ne nomme pas précisément un groupe de hackers comme étant à l'origine de ces attaques.
Microsoft admet avoir signé un driver qui était en réalité un rootkit
Sources : Neowin, Bitdefender