malware

A veces, el modo más eficaz de colarse en un sitio no es excavar un túnel desde el edificio de al lado, ni buscar una puerta lateral poco usada… sino entrar tan campante por la entrada principal. Y los cibercriminales parecen haber tomado nota de ello.

Y es que no hay malware tan peligroso como aquel que puede hacer gala de alguna clase de legitimidad, porque es la clase de malware que no hará saltar las alarmas de los antivirus. Y ese es el caso, precisamente, del nuevo driver malicioso ‘fiveSys’.

Así describe la empresa de ciberseguridad Bitdefender la naturaleza de fiveSys, que no es ningún driver, sino un rootkit:

«El propósito del rootkit es sencillo: tiene como objetivo redirigir el tráfico de Internet en las máquinas infectadas a través de un proxy personalizado […] tanto para HTTP como para HTTPS; el rootkit instala un certificado raíz personalizado para que la redirección HTTPS pueda funcionar».

El software en cuestión es capaz también de bloquear las ediciones del Registro de Windows, y hasta de impedir la instalación de rootkits rivales. Pero, ¿cuál es la entrada principal por la que ha logrado entrar para lograr que no active las alarmas de nuestros sistemas?.

Segunda vez en cuatro meses que ocurre algo similar

Pus, según descubrieron recientemente los investigadores de ciberseguridad de Bitdefender, dicho driver está firmado con un certificado de la mismísima Microsoft; concretamente uno de tipo WHQL (Windows Hardware Quality Labs)…

…que, en teoría, la compañía sólo debería proporcionar tras una cuidadosa comprobación de los paquetes de controladores remitidos por los fabricantes asociados con el programa de compatibilidad de hardware de Windows o WHCP.

Hasta ahora, sólo se ha detectado la presencia de fiveSys entre usuarios chinos, lo que probablemente indique que sus desarrolladores sólo están interesados en esa región.

El pasado mes de junio ya pasó algo muy similar: otro rootkit de origen chino —éste denominado ‘Netfilter’, cuyos servidores de comando y control se encontraban también en territorio chino — fue validado por Microsoft como driver legítimo.

En aquel caso fueron capaces de batir a la seguridad de Microsoft sencillamente siguiendo los procedimientos normales y enviando el controlador como lo haría cualquier compañía normal, y todo indica que, en este caso, ha ocurrido algo similar.

Tras la notificación de Bitdefender, Microsoft ya ha eliminado su firma de FiveSys, lo que detendrá su propagación, pero no será de ayuda para los equipos en los que ya ha sido instalado.

Fuente y redacción: genbeta.com

Compartir