I malware sono pericolosi già di per sé ma diventano ancora più insidiosi quando gli autori delle minacce riescono in qualche modo a legittimare i loro componenti dannosi. Come? Ad esempio associando loro un certificato digitale emesso da un’autorità universalmente riconosciuta, ritenuta affidabile e fidata.
Per prevenire alcuni tipi di attacchi, Microsoft ha introdotto requisiti rigorosi per gli sviluppatori Windows che chiedono di ricevere una firma digitale WHQL (Windows Hardware Quality Labs) da abbinare ai loro driver.
Già a partire da Windows 10 versione 1607 (si parla dell’agosto 2016) il sistema operativo Microsoft impedisce di default il caricamento in modalità kernel dei driver sprovvisti di tale certificato.
A giugno 2021 un gruppo di criminali informatici è comunque riuscito a ottenere da Microsoft la sua approvazione nell’ambito del programma WHQL e un rootkit, chiamato Netfilter, è stato diffuso insieme con la firma digitale dell’azienda di Redmond.
La presenza della firma di Microsoft ha permesso di colpire le vittime senza generare sospetti né da parte degli utenti né facendo “drizzare le antenne” alle principali soluzioni antimalware.
La storia si ripete e adesso i ricercatori di Bitdefender avvertono che anche il rootkit FiveSys ha utilizzato una firma digitale rilasciata da Microsoft.
Grazie a uno script di autoconfigurazione aggiornato periodicamente e che contiene un elenco di domini/URL, FiveSys è capace di reindirizzare tutto il traffico di rete verso un server proxy sotto il controllo degli aggressori.
Il rootkit contiene anche un elenco di oltre 300 domini generati in modo casuale e memorizzati in forma crittografata che consentono al malware di rimanere in piedi anche in caso di tentativi di takedown da parte di aziende private e autorità.
Segnalando la problematica a Microsoft, Bitdefender ha ottenuto l’immediata revoca della firma digitale utilizzata per “legittimare” il driver malevolo.
Quanto accaduto mette in evidenza una pericolosa tendenza ovvero quella che vede i malware writer sempre più spesso alla ricerca di nuove strade per sfruttare certificati e firme digitali legittimi rilasciati da aziende e autorità di certificazione molto note.
Per i più curiosi Bitdefender ha descritto nel dettaglio il funzionamento del rootkit FiveSys in questo documento tecnico.
Per adesso FireSys si è diffuso principalmente in Cina come se gli autori del malware fossero primariamente interessati ad aggredire utenti privati e realtà aziendali di quella nazione. Il rootkit integra anche alcune routine per impedire infezioni dello stesso sistema da parte di altri malware con caratteristiche similari.