APP下载

又有rootkit利用微软数位签章伪装成合法程式,窃取用户线上游戏帐密及金钱

消息来源:baojiabao.com 作者: 发布时间:2024-11-26

报价宝综合消息又有rootkit利用微软数位签章伪装成合法程式,窃取用户线上游戏帐密及金钱
图片来源: 

Bitdefender

安全厂商近日发现一只恶意rootkit成功获得微软签章,目的在窃取受害者登入凭证及不法谋利。

最近安全厂商Bitdefender发现的FiveSys rootkit,是继今年7月的Netfilter后,又一只获得微软WHQL(Windows Hardware Quality Labs)数位签章的恶意驱动程式。WHQL签章要求确保所有驱动程式是获得OS厂商验证及签章,但这类签章无法保证出于真正App开发商之手。这显示恶意程式作者想利用微软签章制度,让使用者误以为它是合法驱动程式而安装。

FiveSys这只rootkit散布途径不明,如何获得微软WHQL签章也不得而知。但微软在接获安全厂商的通知后已经否决了它的签章,意谓著该恶意程式无法再任意下载到用户电脑。

研究人员分析FiveSys的结构,它包括多个使用者模式binaries以便在受害装置下载恶意元件。目前辨识出最主要的元件功能,是将使用者流量导引到特定恶意代理服务器;研究人员认为FiveSys目的是在用户连向线上游戏时,将用户流量导向代理服务器时,借此拦截、窃取用户帐密等验证资料,以及劫持游戏用户的金钱支付。在HTTPS连线上FiveSys会安装根凭证,让用户浏览器不会发出恶意代理服务器的警告。

FiveSys另一功能是阻止受害装置下载其他骇客组织撰写的驱动程式,以独占受害者机器。研究人员发现FiveSys和稍早发现的Netfilter似乎存在竞争关系。

Bitdefender相信FiveSys已经锁定游戏用户超过一年。不过这只rootkit目前也仅在中国散布,研究人员判断可能和背后组织独钟于该市场有关。

研究人员说,从技术层面来看,FiveSys并不算是最高明的,但是它滥用微软数位签章这点,显示这类保护机制的可信度已经被严重破坏。

2021-10-25 12:47:00

相关文章