Scoperto FiveSys, un rootkit con la firma digitale di Microsoft

Attenti a FiveSys, un rootkit che può entrare nel kernel dei sistemi Windows: questo insieme di software malevoli ha ottenuto la firma digitale di Microsoft, una certificazione che normalmente dovrebbe aiutare a distinguere i programmi sicuri dagli altri. La firma digitale, infatti, serve come riconoscimento di autenticità e di sicurezza, e una volta ottenuta consente a un software di sfuggire ai controlli antimalware e ad alcune restrizioni dei sistemi operativi.  

In realtà FiveSys non rappresenta più una minaccia attiva, perché la sua firma digitale è stata prontamente revocata da Microsoft in seguito alla segnalazione di Bitdefender, società autrice della scoperta. Ma il fatto è ugualmente degno di nota perché rappresenta un nuovo caso di vittoria dei cybercriminali contro una grande società tecnologica come Microsoft, vittoria che si è ripercossa sugli utenti. Non è la prima volta che succede: qualcosa di simile è accaduto anche recentemente, lo scorso giugno, con un altro rootkit chiamato Netfilter.

Bitdefender ha spiegato che  FiveSys si è fatto strada attraverso il processo di certificazione dei drive. Una volta ottenuta la firma, ha potuto aggirare le misure antimalware ed essere caricato nel kernel dei sistemi Windows, fatto che permette a chi controlla il rootkit di ottenere privilegi potenzialmente illimitati. In sostanza FiveSys è stato usato come proxy del traffico verso indirizzi Internet di interesse per gli hacker.

La campagna FiveSys è stata attiva per più di un anno, indirizzata su utenti videogiocatori residenti in Cina: gli hacker miravano prevalentemente al furto di credenziali d

 e al dirottamento degli acquisti in-game. Bitdefender ha contattato Microsoft Digital Crime Unit (DCU), Europol ed Fbi, e la certificazione per il malware è stata revocata. Tuttavia, a detta di Bitdefender, c’è un’alta probabilità che il gruppo cybercriminale autore di FiveSys ritenti il colpo in futuro, magari cercando di colpire un altro Paese.