FiveSys, il malware che sfrutta la firma digitale di Microsoft

Sfruttando la firma digitale di Microsoft, il rootkit FiveSys consente ai cyber criminali di ottenere privilegi potenzialmente illimitati sui sistemi infetti.

Vulnerabilità

Nascondersi dietro a una firma digitale di Microsoft è il nuovo modo per farla in barba ai sistemi di sicurezza e mettere a segno i cyber attacchi. Almeno è quello che succede nel caso di FiveSys, un rootkit scoperto di recente dai ricercatori di Bitdefender Labs.

Questa nuova cyber minaccia sfrutta appunto il processo di certificazione dei driver. La firma digitale valida aiuta il criminale informaticoad aggirare le misure di sicurezza, come l'antimalware ele restrizioni del sistema operativo, sul caricamento di moduli di terze parti nel kernel. Una volta caricato, FiveSys permette ai criminali informatici di ottenere privilegi potenzialmente illimitati sui sistemi infetti.

FiveSys viene utilizzato come proxy per instradare il traffico verso indirizzi internet di interesse per i cyber criminali. A quanto si apprende, la campagna FiveSys è stata attiva per più di un anno ed è stata mirata contro i giocatori online in Cina, facili bersagli per il furto di credenziali e il dirottamento degli acquisti in-game.


I risvolti positivi non mancano, perché Bitdefender ha notificato la sua scoperta alla Microsoft Digital Crime Unit (DCU), all'Europol e all'FBI e i certificati che venivano sfruttati sono stati revocati. Un chiaro esempio dell'importanza e dell'efficacia della collaborazione e condivisione di informazioni fra istituzioni e aziende private.

Il risultato ottenuto non significa che si possa abbassare la guardia. È consigliabile applicare gli Indicatori di Compromissione alle soluzioni di Endpoint Detection and Response, ai servizi di Management Detection Response e ad altre misure di sicurezza. I motivi sono due. Da una parte rimuovere eventuali minacce rimaste silenti, dall'altra prevenire ulteriori contagi, perché non è da escludere che i cyber criminali possano tentare di replicare il modello d'attacco in altri Paesi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 08
Red Hat Summit Connect - Roma
Nov 30
Red Hat Open Source Day - Milano

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter