Китайских геймеров атакует подписанный Microsoft руткит FiveSys
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Китайских геймеров атакует подписанный Microsoft руткит FiveSys

Татьяна Никитина 22 Октября 2021 - 18:21
...
Китайских геймеров атакует подписанный Microsoft руткит FiveSys

Исследователи из Bitdefender обнаружили еще один руткит с валидной подписью Microsoft. Судя по всему, его распространителей интересуют аккаунты пользователей онлайн-игр в Китае.

По данным экспертов, вредонос, именуемый FiveSys, существует в интернете более года. Злоумышленники используют его для перенаправления трафика на кастомные прокси-серверы, список которых вшит в код (300 доменов в TLD-зоне .xyz).

Редирект работает и для HTTP, и для HTTPS; в последнем случае руткит устанавливает в систему корневой сертификат, чтобы браузер жертвы не выдал тревожное предупреждение. Исследователи полагают, что атаки FiveSys нацелены на кражу учетных данных геймеров и перехват внутриигровых покупок.

Для перенаправления трафика используется специальный скрипт автоматической настройки прокси, который вредоносный драйвер извлекает из ресурсов и скармливает браузеру. Функции самозащиты FiveSys включают блокировку редактирования реестра Windows и установки конкурирующих зловредов, которых он отслеживает по обновляемому списку цифровых подписей (в настоящее время 68 хешей).

Новый руткит состоит из множества компонентов; так, в Bitdefender идентифицировали несколько бинарников режима пользователя, предназначенных для загрузки вредоносных драйверов. Последних, по оценкам, должно быть четыре, но экспертам попалось только два образца — PacSys (доставляет скрипт автонастройки прокси) и Up.sys (загружает и запускает некий исполняемый файл).

Каким образом операторам удалось раздобыть цифровую подпись Microsoft, чтобы беспрепятственно внедрять FiveSys на Windows-машины, установить не удалось. Эта подпись WHQL (Windows Hardware Quality Labs) удостоверяет, что продукт успешно прошел тестирование в специализированной лаборатории и будет стабильно работать на любом оборудовании Windows.

Компания с 2016 настаивает на том, чтобы все драйверы, выпускаемые для ее ОС, имели WHQL-подпись. Однако практика показала, что это препятствие можно обойти — достаточно вспомнить недавний инцидент с Netfilter.

Эксперты сообщили в Microsoft о новой находке, и скомпрометированную подпись уже аннулировали. Отчет по итогам исследования Bitdefender доступен (PDF) на сайте компании.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Роскомнадзор включил Viber в перечень ОРИ, несмотря на блокировку
Яков Шпунт 23 Января 2025 - 11:29
Соответствие законодательству РФ КорпорацииГосударство Соответствие требованиям регуляторов
Роскомнадзор включил Viber в перечень ОРИ, несмотря на блокировку

Роскомнадзор внес мессенджер Viber в перечень организаторов распространения информации (ОРИ), несмотря на ранее введенные ограничения доступа к этому сервису.

Согласно законодательству, регулятор имеет право принудительно добавлять платформы и сервисы в реестр ОРИ, если они соответствуют ряду критериев.

Главным из них является наличие функции обмена сообщениями между пользователями. О включении Viber в реестр сообщило издание VC.RU.

Попадание в перечень ОРИ обязывает сервисы выполнять ряд требований. В их числе — хранение данных о действиях пользователей в течение шести месяцев и предоставление этой информации по запросу правоохранительных органов.

Кроме того, платформы обязаны установить оборудование для системы оперативно-разыскных мероприятий (СОРМ). Нарушение этих требований может повлечь за собой крупные штрафы и блокировку. На данный момент в реестре ОРИ насчитывается более 450 сервисов.

Роскомнадзор ограничил доступ к Viber еще в декабре 2024 года. Официальными причинами блокировки назывались размещение противоправной информации и систематическое неисполнение требований к организаторам распространения информации.

По данным «Медиаскоп», аудитория Viber на момент блокировки составляла около 26% россиян, что обеспечивало ему третье место по популярности среди мессенджеров после Telegram и WhatsApp (принадлежит корпорации Meta, признанной экстремистской организацией и запрещенной в России).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Банковские приложения в Android теперь смогут проверить наличие патчей ОС
Новость
Банковские приложения в Android теперь смогут проверить нали...
Мошенники, работающие по схеме Мамонт, за год украли 1,2 млрд рублей
Новость
Мошенники, работающие по схеме Мамонт, за год украли 1,2 млр...
МУЛЬТИФАКТОР стала лицензиатом ФСТЭК России
Новость
МУЛЬТИФАКТОР стала лицензиатом ФСТЭК России

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.