En un reciente comunicado, Microsoft confirmó que Netfilter, un driver malicioso distribuido dentro de algunos entornos de gaming, fue firmado por la compañía. Karsten Hahn, investigador de la firma G Data, menciona que este rootkit fue detectado por primera vez hace un par de semanas y cuenta con conexión a direcciones IP y servidores C&C en China.
Para la comunidad de la ciberseguridad, este incidente es una muestra más de las debilidades en la cadena de suministro de software, algo que ha sido explotado por los hackers con consecuencias desastrosas como ocurrió con el ataque a SolarWinds.
Como mencionaron anteriormente los expertos de G Data, el driver se comunica a implementaciones con sede en China, a lo que Karsten Hahn comentó: “Desde Windows Vista, cualquier código que se ejecute en modo kernel debe firmarse antes del lanzamiento público para garantizar la estabilidad del sistema operativo. Los controladores sin firma de Microsoft no se pueden instalar de forma predeterminada.”
El investigador analizó el controlador y concluyó que se trataba de una muestra de malware: “La muestra tiene una rutina de actualización automática que envía su propio hash MD5 al servidor a través de hxxp://110.42.4.180:2081/v?V=6&m=.”
Microsoft ya recibió el reporte y anunció que iniciará una investigación, aunque se confirmó que hasta el momento no hay evidencia de que se hayan utilizado certificados de firma de código robados. Una primera hipótesis sugiere que los actores de amenazas siguieron el proceso de Microsoft para enviar los controladores Netfilter maliciosos, con lo que obtuvieron la firma legítima de Microsoft en el binario.
“Microsoft se encuentra investigando a un grupo de hacking que distribuye drivers maliciosos en entornos de gaming. Este grupo envía los drivers para su certificación mediante el programa de Windows correspondiente pero estos desarrollos maliciosos no han sido desarrollados por Microsoft. Decidimos suspender la cuenta asociada y revisar todos sus envíos para apoyar la investigación de esta campaña maliciosa”, señala la compañía.
El reporte de la compañía señala que los actores de amenazas se han dirigido principalmente al sector del gaming en China, por lo que hasta ahora no hay indicios de que se hayan comprometido implementaciones en otras industrias. Microsoft rechazó atribuir este incidente a algún grupo de hacking patrocinado por estados nacionales.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad