solidot新版网站常见问题,请点击这里查看。

流量重定向 Rootkit 使用了微软签发的数字签名

安全
WinterIsComing (31822)发表于 2021年10月26日 22时56分 星期二
来自雾影2:雾影游戏
安全公司 Bitdefender 的研究人员发现,一种流量重定向 Rootkit 恶意程序以某种方式通过了驱动程序认证程序, 获得了微软签发的数字签名证书。有效的证书让 Rootkit 能绕过操作系统的限制。窃取企业的数字证书在网络犯罪领域并不罕见,但直接从微软获取合法证书则令人困惑。安全研究人员猜测可能是犯罪分子尝试着递交驱动进行验证,然后不知为何通过了审核获得了证书。名为 FiveSys 的 rootkit 被认为主要通过捆绑破解软件传播,它会安装一个定制 root 证书将流量重定向通过一个代理服务器,它主要被用于攻击网游玩家,旨在窃取登陆凭证和劫持游戏内购买。网络游戏内的虚拟物品交易会涉及到大量资金。