En una crisis de malware en la que nos encontramos, la ciberseguridad se ha puesto en primera plana, ofreciendo soluciones aparentemente sencillas y milagrosas como usar el sentido común y no instalar nada sin certificar por Microsoft por miedo a poder ser malware. Pero se ha visto que ni en esto últimoo podemos confiar porque investigadores de ciberseguridad han descubierto otro rootkit que ha abusado del proceso de firma de Windows Hardware Quality Labs de Microsoft.
Los investigadores del proveedor de seguridad Bitdefender han descubierto el rootkit FiveSys, que sería el segundo rootkit con el que se han encontrado y que ha logrado burlar el proceso de certificación de controladores de Microsoft. Antes usaban certificaciones robadas, y ahora pueden directamente crear malware que puede sortear la certificación de Microsoft.
El malware se ha hecho más peligroso y ahora simula la certificación de Microsoft
Según su análisis, el rootkit FiveSys parece estar diseñado fijarse en juegos online con el fin de robar credenciales y secuestrar las compras dentro del juego. Bitdefender cree que FiveSys y además Netfilter, que fue el primero en abusar del proceso de firma digital de Microsoft; no son incidentes aislados y quizás apuntan hacia una nueva tendencia de malware que usa firmas WHQL para burlar la seguridad.
La base de su teoría son los lucrativos requisitos de firma de controladores nuevos de Microsoft, que exigen que los controladores estén firmados digitalmente por la empresa para que Windows los acepte. Bitdefender afirma que este nuevo requisito garantiza que todos los controladores estén validados y firmados por el proveedor del sistema operativo en lugar del desarrollador original y, como tal, las firmas digitales no ofrecen ninguna indicación sobre la identidad del desarrollador real, lo que puede incluso ayudar a los crackers y otros ciberdelicuentes a ocultar su identidad.
Poco después de descubrir el malware, Bitdefender se acercó a Microsoft para señalar este abuso de confianza digital, lo que llevó la empresa de Redmond a revocar la firma.
Fuente: TechRadar
