FiveSys 域恶意软件使用 Microsoft WHQL 签名来验证其合法性

设计软件 tobmac 1个月前 (10-23) 64次浏览 已收录 0个评论 扫描二维码
FiveSys 域恶意软件使用 Microsoft WHQL 签名来验证其合法性

威胁行为者经常寻找使他们的网络攻击合法化的方法。我的意思是,他们想方设法让恶意软件看起来真实,以欺骗不知情的受害者。如果恶意软件有一丝合法性,它就更有可能愚弄人们。这就是为什么新的“FiveSys”恶意软件是危险的,因为它有来自微软的数字签名。

不,微软并没有涉足网络攻击。真正发生的事情是以某种方式恶意软件背后的组织能够让微软提供 WHQL 认证签名。

Bitdefender报告说FiveSys 是一种恶意驱动程序 rootkit,具有 Windows 硬件质量实验室 (WHQL) 认证。这是 Microsoft 在花费时间验证驱动程序包在 Windows 硬件兼容性计划 (WHCP) 上是否安全后提供给软件的。

目前尚不清楚威胁行为者是如何获得认证的。但是,rootkit 会尝试通过代理(来自 300 个潜在域的列表)在目标计算机上移动在线流量。

“重定向适用于 HTTP 和 HTTPS;rootkit 会安装自定义根证书,以便 HTTPS 重定向工作。通过这种方式,浏览器不会警告代理服务器的未知身份,” Bitdefender 解释说。

目标

FiveSys 似乎只在中国传播,这可能意味着恶意软件背后的组织正在积极针对该国的用户。

“除了重定向互联网流量之外,rootkit 还阻止加载来自其他恶意软件编写组的驱动程序,因为他们可能试图限制竞争对手的威胁行为者对受感染系统的访问。”


TobMAC , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:FiveSys 域恶意软件使用 Microsoft WHQL 签名来验证其合法性
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址