威胁行为者经常寻找使他们的网络攻击合法化的方法。我的意思是,他们想方设法让恶意软件看起来真实,以欺骗不知情的受害者。如果恶意软件有一丝合法性,它就更有可能愚弄人们。这就是为什么新的“FiveSys”恶意软件是危险的,因为它有来自微软的数字签名。
不,微软并没有涉足网络攻击。真正发生的事情是以某种方式恶意软件背后的组织能够让微软提供 WHQL 认证签名。
Bitdefender报告说FiveSys 是一种恶意驱动程序 rootkit,具有 Windows 硬件质量实验室 (WHQL) 认证。这是 Microsoft 在花费时间验证驱动程序包在 Windows 硬件兼容性计划 (WHCP) 上是否安全后提供给软件的。
目前尚不清楚威胁行为者是如何获得认证的。但是,rootkit 会尝试通过代理(来自 300 个潜在域的列表)在目标计算机上移动在线流量。
“重定向适用于 HTTP 和 HTTPS;rootkit 会安装自定义根证书,以便 HTTPS 重定向工作。通过这种方式,浏览器不会警告代理服务器的未知身份,” Bitdefender 解释说。
目标
FiveSys 似乎只在中国传播,这可能意味着恶意软件背后的组织正在积极针对该国的用户。
“除了重定向互联网流量之外,rootkit 还阻止加载来自其他恶意软件编写组的驱动程序,因为他们可能试图限制竞争对手的威胁行为者对受感染系统的访问。”
正文完