0
0
Uma nova campanha direcionada a usuários de jogos na China é o exemplo mais recente de como os agentes de ameaças estão usando cada vez mais rootkits sofisticados para ocultar cargas maliciosas, desativar ferramentas de segurança e manter a persistência nos sistemas das vítimas.
O novo rootkit nesta instância tem uma assinatura digital válida da Microsoft, o que significa que ele pode ser carregado com êxito em sistemas que executam versões recentes do Windows sem ser bloqueado ou disparar alertas de segurança. Ele pode baixar outros drivers de modo kernel não assinados diretamente na memória, incluindo um que é projetado para desligar o software Windows Defender em sistemas de destino para que o agente de ameaças possa implantar malware de segundo estágio de sua escolha — e manter a persistência — neles.
Ameaça ao driver do modo kernel
Pesquisadores da Trend Micro descobriram recentemente o driver de kernel malicioso direcionado a usuários de jogos na China e relataram sua descoberta à Microsoft no mês passado. Eles acreditam que o agente de ameaça desconhecido por trás disso também estava por trás de um rootkit semelhante de 2021 para monitorar e redirecionar o tráfego da Web, apelidado de FiveSys, que também tinha como alvo o setor de jogos chinês.
O novo malware faz parte de um número crescente de drivers de kernel assinados pela Microsoft que os pesquisadores de segurança descobriram nos últimos dois anos. Outros exemplos incluem o PoorTry, um rootkit que a Mandiant relatou em dezembro passado, que os agentes de ameaças estão usando de diferentes maneiras, incluindo para implantar ransomware; e NetFilter para redirecionamento de IP; e FiveSys. Em dezembro passado, a Sophos divulgou um driver do Windows assinado pela Microsoft projetado para matar software antivírus e ferramentas de segurança de endpoint em sistemas visados. Muitos acreditam que os invasores estão empregando cada vez mais essas ferramentas por causa de como as ferramentas de endpoint se tornaram eficazes na detecção de ameaças contrabandeadas por meio de outros vetores.
Muitas dessas ferramentas têm como alvo o setor de jogos na China para fins como roubo de credenciais e trapaça de geolocalização em jogos. Mas não há razão para que um agente de ameaças não possa usá-los em outras geografias e para uma série de outros casos de uso maliciosos.
“Apesar de quão complexo é construir tais capacidades, parece que os atuais atores mal-intencionados estão exibindo competência e uso consistente de tais ferramentas, táticas e procedimentos (TTPs), independentemente de seus motivos e objetivos finais”, escreveram os pesquisadores da Trend Micro Mahmoud Zohdy, Sherif Magdy e Mohamed Fahmy esta semana.
Carregador Universal Rootkit
Os pesquisadores identificaram o novo malware que descobriram como um driver de kernel autônomo que funciona como um carregador de rootkit universal. O driver de primeiro estágio — o assinado pela Microsoft — se comunica com servidores de comando e comunicações (C2) usando o Windows Socket Kernel, uma interface de programação de rede no modo kernel. “Ele usa um algoritmo de Algoritmo de Geração de Domínio (DGA) para gerar diferentes domínios”, disseram os três pesquisadores. “Se ele não conseguir resolver um endereço, ele se conecta diretamente aos IPs de fallout que são codificados dentro do driver.”
O driver de primeiro estágio atua como um carregador para um driver de segundo estágio autoassinado. Como o driver de segundo estágio é baixado por meio do driver de primeiro estágio assinado, ele ignora o carregador de driver nativo do Windows e é carregado diretamente na memória. Em seguida, o malware inicia uma sequência de etapas para manter a persistência e remover quaisquer vestígios de sua presença do disco.
A Trend Micro disse que foi capaz de vincular o novo malware ao ator FiveSys por causa de várias semelhanças entre as duas ferramentas de malware. Tanto o rootkit FiveSys quanto o rootkit de segundo estágio associados à nova função de malware para redirecionar o tráfego de navegação na Web para um servidor controlado por invasores. Ambos podem monitorar o tráfego da Web e as funções do sistema de arquivos de gancho, disse a Trend Micro.
Contas de desenvolvedor desonestos
A Microsoft culpou o problema de drivers maliciosos assinados pela Microsoft em contas de desenvolvedores desonestos dentro de seu programa de parceiros. De acordo com a empresa, “várias contas de desenvolvedor do Microsoft Partner Center (MPC) estavam envolvidas no envio de drivers maliciosos para obter uma assinatura da Microsoft”. Em um comunicado que acompanhou seu anúncio de atualização de segurança de julho de 2023, a empresa disse que suspendeu todas as contas e lançou atualizações para detectar e bloquear os drivers maliciosos.
Enquanto isso, em uma nova reviravolta, o Cisco Talos disse esta semana que descobriu agentes de ameaças usando ferramentas de forjamento de data/hora de assinatura digital de código aberto para alterar a data de assinatura nos drivers da Microsoft no modo kernel e implantá-los aos milhares. A empresa vinculou a atividade a uma brecha na política de assinatura de drivers do Windows da Microsoft. A política basicamente especifica que o Windows não carregará nenhum novo driver de nível de kernel, a menos que eles sejam assinados por meio do Portal de Desenvolvimento da Microsoft. A política, no entanto, fornece uma exceção que permite “a assinatura e o carregamento de drivers de modo kernel com assinatura cruzada com carimbo de data/hora de assinatura antes de 29 de julho de 2015”, disse a Cisco. Os agentes de ameaças estão abusando das brechas para assinar drivers, incluindo os expirados, para que se enquadrem na isenção da política e, em seguida, estejam usando-os para implantar malware.
FONTE: DARK READING