FiveSys, il malware che sfrutta la firma digitale di Microsoft

Sfruttando la firma digitale di Microsoft, il rootkit FiveSys consente ai cyber criminali di ottenere privilegi potenzialmente illimitati sui sistemi infetti.

Vulnerabilità

Nascondersi dietro a una firma digitale di Microsoft è il nuovo modo per farla in barba ai sistemi di sicurezza e mettere a segno i cyber attacchi. Almeno è quello che succede nel caso di FiveSys, un rootkit scoperto di recente dai ricercatori di Bitdefender Labs.

Questa nuova cyber minaccia sfrutta appunto il processo di certificazione dei driver. La firma digitale valida aiuta il criminale informaticoad aggirare le misure di sicurezza, come l'antimalware ele restrizioni del sistema operativo, sul caricamento di moduli di terze parti nel kernel. Una volta caricato, FiveSys permette ai criminali informatici di ottenere privilegi potenzialmente illimitati sui sistemi infetti.

FiveSys viene utilizzato come proxy per instradare il traffico verso indirizzi internet di interesse per i cyber criminali. A quanto si apprende, la campagna FiveSys è stata attiva per più di un anno ed è stata mirata contro i giocatori online in Cina, facili bersagli per il furto di credenziali e il dirottamento degli acquisti in-game.


I risvolti positivi non mancano, perché Bitdefender ha notificato la sua scoperta alla Microsoft Digital Crime Unit (DCU), all'Europol e all'FBI e i certificati che venivano sfruttati sono stati revocati. Un chiaro esempio dell'importanza e dell'efficacia della collaborazione e condivisione di informazioni fra istituzioni e aziende private.

Il risultato ottenuto non significa che si possa abbassare la guardia. È consigliabile applicare gli Indicatori di Compromissione alle soluzioni di Endpoint Detection and Response, ai servizi di Management Detection Response e ad altre misure di sicurezza. I motivi sono due. Da una parte rimuovere eventuali minacce rimaste silenti, dall'altra prevenire ulteriori contagi, perché non è da escludere che i cyber criminali possano tentare di replicare il modello d'attacco in altri Paesi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Controllo degli accessi e degli account

Speciale

Competenze per la cyber security

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Calendario Tutto

Dic 14
#LetsTalkIoT - IoT standards, regulations and best practices

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori