Microsoft kennzeichnet Malware, die sich über Spiele verbreitet

  • Der Treiber mit dem Namen “Netfilter” ist ein Rootkit, das mit chinesischen C2-IPs kommuniziert und darauf abzielt, die Geo-Locations von Gamern zu fälschen, um das System zu betrügen und von überall aus zu spielen, so Microsoft.

    Microsoft hat einen Treiber signiert, der in Spieleumgebungen verteilt wurde und sich als bösartiges Netzwerkfilter-Rootkit herausstellte.

    Der G DATA Malware-Analyst Karsten Hahn entdeckte das Rootkit zuerst, veröffentlichte den Fund am 17. Juni und wandte sich gleichzeitig an Microsoft. Hahn stellte fest, dass der Code – ein Drittanbieter-Treiber für Windows namens Netfilter, der in der Gaming-Community kursiert – mit einer IP-Adresse in China verbunden war.

    Wie Hahn in einem Sicherheitshinweis am Freitag ausführte, dachten die G DATA Analysten zunächst, dass ihre Telemetrie ein falsches Positiv für eine legitim signierte Datei angezeigt hatte. Aber es stellte sich heraus, dass mit der Telemetrie alles in Ordnung war: Sie war legitim bösartig, schrieb Hahn.

    Laut WHOIS-Aufzeichnungen gehörte die Command-and-Control-Adresse (C2) – IP 110.42.4.180 -, mit der sich der bösartige Netfilter-Treiber verband, zu Ningbo Zhuo Zhi Innovation Network Technology Co. Ltd.

    [Blocked Image: https://alltechnews.de/daten/2021/06/Microsoft-kennzeichnet-Malware-die-sich-ueber-Spiele-verbreitet.png]

    WHOIS-Suche nach der IP-Adresse. Quelle: Threatpost.

    Am Freitag bestätigte Microsoft den Vorfall und teilte mit, dass eine interne Untersuchung eingeleitet wurde, dem Windows Defender Malware-Signaturen hinzugefügt wurden und die Signaturen mit Sicherheitsunternehmen geteilt wurden. Bis Montagmorgen hatten 35 Sicherheitsanbieter die Datei als bösartig eingestuft.

    Am Freitag versuchte Microsoft immer noch herauszufinden, wie ein Rootkit durch den Signierungsprozess schlüpfen konnte.

    [Blocked Image: https://alltechnews.de/daten/2021/06/1624898929_989_Microsoft-kennzeichnet-Malware-die-sich-ueber-Spiele-verbreitet.png]

    Microsoft-Signatur-Details zum Netzwerkfilter-Rootkit. Quelle: VirusTotal.

    Hier ist Hahn:

    Was als falsch positiver Alarm für eine von Microsoft signierte Datei begann, entpuppt sich als WFP [Windows Filtering Platform] Application Layer Enforcement Callout-Treiber, der den Datenverkehr an eine chinesische IP-Adresse umleitet. Wie konnte das passieren?

    Konto eines Drittanbieters suspendiert

    Microsoft sagte in seinem Advisory, dass es jetzt einen bösartigen Akteur untersucht, der “bösartige Treiber innerhalb von Spieleumgebungen verteilt.” Der Bedrohungsakteur reichte Treiber zur Zertifizierung durch das Windows Hardware Compatibility Program (WHCP) ein, das sicherstellen soll, dass Windows-kompatible Software und Hardware reibungslos unter Windows 10, Windows 11 und Windows Server 2022 läuft und eine Anleitung für die Entwicklung, das Testen und die Verteilung von Treibern bietet.

    “Mit dem Windows Hardware Dev Center Dashboard können Sie Einreichungen verwalten, die Leistung Ihres Geräts oder Ihrer App verfolgen, Telemetrie überprüfen und vieles mehr”, heißt es auf der Microsoft-Website.

    Und anscheinend können Sie noch mehr Schaden in der bereits angeschlagenen Spieleindustrie anrichten, die von Angreifern mit Pandemie-Bohrungen heimgesucht wird. Der Ansturm hat dazu geführt, dass jede Sony PlayStation 3 ID kompromittiert wurde, was zu Sperren von legitimen Spielern im Netzwerk geführt hat; Hacker haben raubkopierte Spiele mit Cryptojacking-Malware geknackt; und die Spieleplattform Steam wurde zum Hosten von Malware verwendet.

    Microsoft hat das Konto, das den bösartigen Treiber verbreitet, gesperrt und die Eingaben des Bedrohungsakteurs auf weitere Anzeichen von Malware überprüft.

    Das Ziel: Beim Spielen zu betrügen

    Laut Microsoft sind die Auswirkungen dieses Angriffs begrenzt. Es gibt keine Anzeichen dafür, dass das WHCP-Signaturzertifikat offengelegt wurde oder dass die Infrastruktur kompromittiert wurde. Laut dem Advisory beschränkt der Rootkit-Spreader seine Aktivitäten speziell auf China und zielt offenbar nicht auf Unternehmen ab. Microsoft schreibt den Angriff zu diesem Zeitpunkt nicht einem nationalstaatlichen Akteur zu.

    Das Unternehmen sagte, dass das Ziel des Bedrohungsakteurs darin besteht, Spielsysteme zu betrügen: “Sie nutzen den Treiber, um ihren Geostandort zu fälschen, um das System zu betrügen und von überall aus zu spielen”, heißt es in dem Advisory von Microsoft. “Die Malware ermöglicht es ihnen, sich einen Vorteil in Spielen zu verschaffen und möglicherweise andere Spieler auszunutzen, indem sie deren Konten durch gängige Tools wie Keylogger kompromittieren.”

    Laut Microsoft ist ein wichtiges Puzzlestück die Tatsache, dass die bei dem Angriff verwendeten Techniken erst nach der Ausnutzung auftreten: Mit anderen Worten, ein Angreifer muss “entweder bereits administrative Rechte erlangt haben, um in der Lage zu sein, das Installationsprogramm auszuführen, um die Registrierung zu aktualisieren und den bösartigen Treiber beim nächsten Systemstart zu installieren, oder den Benutzer davon zu überzeugen, dies in seinem Namen zu tun”, heißt es in dem Advisory.

    Das Unternehmen sagte, dass es plant, ein Update darüber zu veröffentlichen, wie es seine Richtlinien für den Partnerzugriff, die Validierung und den Signierungsprozess verfeinern wird, um den Schutz zu erhöhen. Es sagte, dass die Kunden keine Maßnahmen ergreifen müssen: Befolgen Sie einfach die bewährten Sicherheitspraktiken und setzen Sie Antiviren-Software ein, empfahl es.

    Schlechte Zertifikate = Großartige Möglichkeit, Supply-Chain-Attacken auszulösen

    Digitale Zertifikate ermöglichen es ihren Besitzern, den Besitz kryptografisch mit einem öffentlichen Schlüssel zu Authentifizierungszwecken zu verknüpfen. Sie sind eine Möglichkeit für Bedrohungsakteure, der Entdeckung zu entgehen, da sie Benutzer dazu verleiten, Malware herunterzuladen, weil diese auf ihren Systemen legitim erscheint, wie Tomislav Pericin von ReversingLabs im Jahr 2019 feststellte, als Forscher Cyberkriminelle dabei beobachteten, wie sie Zertifizierungsstellen täuschten, indem sie sich als legitime Unternehmen ausgaben. Sie drehten sich um und verkauften die in betrügerischer Absicht erworbenen Zertifikate auf dem Schwarzmarkt, wo sie von anderen Bedrohungsakteuren gekauft und zum digitalen Signieren bösartiger Dateien – hauptsächlich Adware – verwendet wurden.

    Aber böswillige Akteure können es weit über Adware hinaus treiben, wie der Angriff von SolarWinds zeigte, bei dem die Komponente, die die Malware enthielt, mit dem entsprechenden SolarWinds-Zertifikat signiert wurde, wie Ray Kelly, Principal Security Engineer bei WhiteHat Security, feststellte. Die Signatur ließ die DLL wie eine “legitime und sichere Komponente” für SolarWinds’ Orion-Produkt aussehen, beobachtete Kelly, und von dort aus wurde sie in einen “Patch” gebündelt und an Tausende von Kunden verteilt.

    Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com