Microsoft hat am Freitag bestätigt, dass es bösartigen Treibercode von Drittanbietern signiert hat, der über sein Windows-Hardwarekompatibilitätsprogramm zur Zertifizierung eingereicht wurde.
Laut Microsoft zielte der Kriminelle hinter dem auf den Kopf gestellten Treiber auf Computerspiele in China ab und ist nicht die Art von nationalstaatlicher Gruppe, die Microsoft und seinen Firmenkunden in den letzten Monaten Kopfschmerzen bereitet hat.
Die Rootkit-Software kann, einmal auf einem Windows-Rechner installiert, verwendet werden, um Bereichsbeschränkungen in den Spielen zu umgehen und/oder Spieler dazu zu verleiten, ihre Einträge während des Tippens von ihrem Konto zu stehlen. Es könnte sein, dass die Person hinter dem Sprengsatztreiber die Software als Werkzeug zur Umgehung der Standortkontrolle verbreiten soll, die auch heimlich Gamer ausspioniert.
„Das Ziel des Schauspielers ist es, den Treiber zu verwenden, um seinen geografischen Standort zu betrügen, um das System zu betrügen und von überall aus zu spielen“, erklärte das Sicherheitsteam von Microsoft. „Die Malware ermöglicht es ihnen, sich in Spielen einen Vorteil zu verschaffen und potenziell andere Spieler auszunutzen, indem sie deren Konten durch gängige Tools wie Keylogger verletzen.“
Um das Rootkit auf dem Computer eines Opfers zu installieren, müsste ein Angreifer auf Admin-Ebene auf die Box zugreifen oder den Benutzer dazu bringen, die Installation des Treibers zu autorisieren – was das Signieren des Codes über Microsoft erleichtert.
Der Windows-Hersteller, der am Freitag ebenfalls bekannt gab, dass der Nobelium-Konzern hinter dem SolarWinds-Angriff steckt kompromittiert Ein Microsoft-Support-Bankkonto in einer separaten Phishing-Operation sagte, es untersuche den Versuch des unbekannten Bedrohungsakteurs, verdeckte Fahrer in Spielumgebungen zu zerstreuen.
„Der Schauspieler hat Treiber zur Zertifizierung durch das Windows Hardware Compatibility Program eingereicht“, sagte das Sicherheitsteam von Microsoft in einer Erklärung. Blogpos. „Die Treiber wurden von einem Drittanbieter erstellt. Wir haben das Konto gesperrt und ihre Einsendungen auf zusätzliche Anzeichen von Malware überprüft.“
Sicherheitsforscher Karsten Hahn den Fahrer identifiziert als Netfilter, ein Rootkit, das sich mit einer IP-Adresse verbindet registriert mit Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd., in China. Hahn notierte den Befund zunächst am 17. Juni 2021.
Auf der positiven Seite sagte Microsoft, es habe keine Anzeichen dafür gesehen, dass sein WHCP-Signaturzertifikat oder seine Infrastruktur kompromittiert worden waren. Der Softwareriese hat seine Microsoft Defender-Daten aktualisiert, um den schlauen Treiber zu erkennen und zu blockieren, und hat Signaturinformationen mit anderen Antiviren-Sicherheitsanbietern geteilt, damit diese ihre Erkennungsmechanismen konfigurieren können.
Dennoch können einige Spieler in China aufgrund dieses Treibers kompromittiert werden.
Redmond sagte, er plane, irgendwann zusätzliche Details darüber zu veröffentlichen, wie es „unsere Partnerzugriffsrichtlinie, Validierung und den Unterzeichnungsprozess verfeinert, um unseren Schutz weiter zu verbessern“. ®
Hardcore-Musikfanatiker. Food-Evangelist. Freiberuflicher Spieler. Wannabe-Schriftsteller. Wegbereiter der Popkultur. Lebenslanger Unternehmer. Reise-Guru.
+ There are no comments
Add yours