Microsoftのデジタル署名入りルートキット「FiveSys」がネトゲを標的に拡散中

アンチウイルスソフトメーカー・BitDefenderの研究者により、Microsoftの発行した有効なデジタル署名を持った悪意あるルートキット「FiveSys」の存在が指摘されています。2021年6月には先行して同様のルートキット「Netfilter」が発見されており、今後、さらにデジタル署名入りのマルウェアの増加が危惧されています

Digitally-Signed Rootkits are Back – A Look at FiveSys and Companions
https://www.bitdefender.com/blog/labs/digitally-signed-rootkitsare-back-a-look-atfivesys-and-companions/

2021年6月、セキュリティ企業のG DATAにより、Microsoftのデジタル署名入りマルウェア「Netfilter」の存在が明らかになりました。Microsoftによれば署名インフラに危険はないとのことですが、このマルウェアはMicrosoftのプロセスに従って悪意あるドライバーを送信し、合法的に署名入りバイナリを取得することに成功したとみられています。

Microsoftがコード署名プロセスの弱点を突かれて誤ってルートキットに署名したことが判明 - GIGAZINE

新たに見つかった「FiveSys」は、攻撃者の望むインターネットアドレスへのプロキシトラフィックに使用されるもので、オンラインゲームをターゲットとして、認証情報の窃取とゲーム内購入の乗っ取りが目的であると推測されています。

「FiveSys」はおよそ1年前から出回っていますが、「Netfilter」と同じく拡散地域は中国に限られており、中国市場に大きな関心を持つ脅威アクターによって運営されているものとみられます。