Microsoft ha lanzado un comunicado el viernes 25 de junio, el cual expresa que se encuentra bajo investigación por un incidente en el que un controlador firmado por la compañía, el cual resulto resultó ser un RootKit de Windows malicioso el cual se observo que el trafico de la red de dicho aplicativo se estaba dirigiendo a servidores C2, ubicados en China.
El controlador llamado «Netfilter» , apunta a entornos de juegos, específicamente en el país del este de Asia, y la firma con sede en Redmond señaló que «el objetivo del actor es usar el controlador para falsificar su ubicación geográfica para engañar al sistema y jugar desde cualquier lugar«.
Según el Centro de Respuesta de Seguridad de Microsoft (MSRC), dijo:
«El malware les permite obtener una ventaja en los juegos y posiblemente otros jugadores explotan al comprometer sus cuentas a través de herramientas comunes como los keyloggers,»
Vale en señalar que Netfilter también se refiere a un paquete de software legítimo, que permite el filtrado de paquetes y la traducción de direcciones de red para sistemas basados en Linux.
Microsoft nombró al malware como «Retliften» , aludiendo a «netfilter«, pero escrito al revés. Agregando que el controlador malicioso puede interceptar el tráfico de red, agregar nuevos certificados de raíz, establecer un nuevo servidor proxy y modificar la configuración de Internet sin el consentimiento del usuario.
La firma del código malicioso fue detectada por Karsten Hahn, un analista de malware de la empresa alemana de ciberseguridad G Data, quien compartió detalles adicionales del RootKit, incluido un dropper, que se utiliza para implementar e instalar Netfilter en el sistema.

La muestra más antigua de Netfilter detectada en VirusTotal data del 17 de marzo de 2021, dijo Hahn.
Una vez instalado con éxito en el sistema, se comprobó que el controlador establecía conexión con un servidor C2 para recuperar la información de configuración, que ofrecía una serie de funcionalidades como la redirección de IP, entre otras capacidades para recibir un certificado raíz e incluso auto actualizar el malware.

Microsoft señaló que el actor presentó el controlador para la certificación a través del Programa de Compatibilidad de Hardware de Windows (WHCP), y que los controladores fueron incluidos por un tercero. Desde entonces, la compañía ha suspendido la cuenta y ha revisado sus registros en busca de signos adicionales de malware.
El fabricante de Windows también destaco que las técnicas empleadas en el ataque se producen después de la explotación, lo que requiere que el actor de amenaza que haya obtenido previamente privilegios administrativos para poder instalar el controlador durante el inicio del sistema o engañar al usuario para que lo haga en su nombre.
Además, Microsoft comunico que tiene la intención de perfeccionar sus políticas de acceso de socios, así como su proceso de validación y firma para mejorar aún más las protecciones.
«El panorama de la seguridad sigue evolucionando rápidamente a medida que los actores de las amenazas encuentran métodos nuevos e innovadores para acceder a los entornos a través de una amplia gama de vectores«, dijo el MSRC, destacando una vez más cómo la confianza asociada a los controladores firmados puede ser explotada por los actores de las amenazas para facilitar los ataques a gran escala a la cadena de suministro de software.
Más información:
https://docs.microsoft.com/en-us/windows-hardware/design/compatibility/
https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence