Em nota compartilhada no blog oficial, a Microsoft confirmou que certificou acidentalmente um driver de Windows que possuía um malware rootkit integrado. A ameaça, que havia passado pelo Programa de Compatibilidade de Hardware do Windows (WHCP), é uma antiga conhecida da comunidade de jogos e se vende como uma VPN, mas acaba roubando dados e os enviando para um servidor da China.
A falha de segurança foi identificada por pesquisadores da empresa alemã de cibersegurança G Data, que confirmou vínculo do erro com o driver de terceiros Netfilter. Segundo a empresa, esse malware é capaz de explorar e interromper a atividade de keyloggers e de outras ferramentas usadas para proteger informações pessoais do usuário.
Em nota, a Microsoft afirmou que não houve evidência de que o certificado WHCP tenha sofrido qualquer tipo de exposição ou que a infraestrutura tenha sido comprometida. Porém, apesar disso, a situação está sendo investigada e o sistema de detecção e bloqueio do driver em questão, associado com Microsoft Defender, deve fornecer as condições ideais para prevenir futuras infecções como a nova política de “refinamento”.
Microsoft signed a malicious Netfilter rootkit | G DATA https://t.co/ceG9jU7n39 via @GDATA
— CyOps (@_CYOPS) June 28, 2021
A fabricante chinesa Ningbo Zhuo Zhi Innovation Network Technology, que ironicamente trabalhou em outras oportunidades com a Microsoft para resolver problemas de segurança envolvendo arquivos e hardwares afetados, reforçou que deverá lançar em breve uma atualização para os drivers através do Windows Update, agora contando com melhorias prometidas pela Microsoft.
O impacto e funcionamento do rootkit
A atividade do malware se restringiu apenas ao setor de jogos na China — atuando como uma ferramenta para obter vantagens em games online — e aparentemente não chegou a afetar ambientes corporativos, funcionando com usuários que operam a níveis de administrador.
Supostamente, esses hackers, que a Microsoft acredita não fazerem parte de órgãos governamentais, são dotados de privilégios administrativos e conseguem invadir a máquina seja após a sua inicialização ou convencendo o usuário a instalar o driver. Até o momento, ainda não foi esclarecido como o Netfilter conseguiu burlar o WHCP e infectar o sistema operacional.
Fontes
