Blog

Un actor de amenaza engaña a Microsoft para firmar el controlador Netfilter con un Rootkit

Microsoft ha lanzado un comunicado el viernes 25 de junio, el cual expresa que se encuentra bajo investigación por un incidente en el que un controlador firmado por la compañía, el cual resulto resultó ser un RootKit de Windows malicioso el cual se observo que el trafico de la red de dicho aplicativo se estaba dirigiendo a servidores C2, ubicados en China.

El controlador llamado «Netfilter» , apunta a entornos de juegos, específicamente en el país del este de Asia, y la firma con sede en Redmond señaló que «el objetivo del actor es usar el controlador para falsificar su ubicación geográfica para engañar al sistema y jugar desde cualquier lugar«.

Según el Centro de Respuesta de Seguridad de Microsoft (MSRC), dijo:

«El malware les permite obtener una ventaja en los juegos y posiblemente otros jugadores explotan al comprometer sus cuentas a través de herramientas comunes como los keyloggers

Vale en señalar que Netfilter también se refiere a un paquete de software legítimo, que permite el filtrado de paquetes y la traducción de direcciones de red para sistemas basados ​​en Linux.

Microsoft nombró al malware como «Retliften» , aludiendo a «netfilter«, pero escrito al revés. Agregando que el controlador malicioso puede interceptar el tráfico de red, agregar nuevos certificados de raíz, establecer un nuevo servidor proxy y modificar la configuración de Internet sin el consentimiento del usuario.

La firma del código malicioso fue detectada por Karsten Hahn, un analista de malware de la empresa alemana de ciberseguridad G Data, quien compartió detalles adicionales del RootKit, incluido un dropper, que se utiliza para implementar e instalar Netfilter en el sistema.

La muestra más antigua de Netfilter detectada en VirusTotal data del 17 de marzo de 2021, dijo Hahn.

Una vez instalado con éxito en el sistema, se comprobó que el controlador establecía conexión con un servidor C2 para recuperar la información de configuración, que ofrecía una serie de funcionalidades como la redirección de IP, entre otras capacidades para recibir un certificado raíz e incluso auto actualizar el malware.

Microsoft señaló que el actor presentó el controlador para la certificación a través del Programa de Compatibilidad de Hardware de Windows (WHCP), y que los controladores fueron incluidos por un tercero. Desde entonces, la compañía ha suspendido la cuenta y ha revisado sus registros en busca de signos adicionales de malware.

El fabricante de Windows también destaco que las técnicas empleadas en el ataque se producen después de la explotación, lo que requiere que el actor de amenaza que haya obtenido previamente privilegios administrativos para poder instalar el controlador durante el inicio del sistema o engañar al usuario para que lo haga en su nombre.

Además, Microsoft comunico que tiene la intención de perfeccionar sus políticas de acceso de socios, así como su proceso de validación y firma para mejorar aún más las protecciones.

«El panorama de la seguridad sigue evolucionando rápidamente a medida que los actores de las amenazas encuentran métodos nuevos e innovadores para acceder a los entornos a través de una amplia gama de vectores«, dijo el MSRC, destacando una vez más cómo la confianza asociada a los controladores firmados puede ser explotada por los actores de las amenazas para facilitar los ataques a gran escala a la cadena de suministro de software.

Más información:

https://docs.microsoft.com/en-us/windows-hardware/design/compatibility/

https://www.virustotal.com/gui/file/115034373fc0ec8f75fb075b7a7011b603259ecc0aca271445e559b5404a1406/detection

https://www.virustotal.com/gui/file/d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe/detection

https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:Win32/Retliften.C&ThreatID=2147783059

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad