No início deste mês, a Microsoft assinou um driver chamado Netfilter, que revelou ser um rootkit de filtro de rede malicioso. Rootkit é um malware criado para driblar a detecção e permitir o acesso a um sistema. Quem primeiro identificou o rootkit foi o analista de malware de dados G, Krasten Hahn, que depois rastreou, analisou e identificou como tendo o selo da Microsoft.
Quando os pesquisadores da Microsoft analisaram o rootkit, descobriu-se que ele se comunicava com IPs de comando e controle (C&C) chineses e, ao que parece, pertencem a uma empresa chamada Ningbo Zhuo Zhi Innovation Network Technology Co. Ltd. e era rotulado como ‘Community Chinese Military’ pelo Departamento de Defesa dos Estados Unidos.
A Microsoft disse que o objetivo do autor da ameaça é enganar os sistemas de jogos. “Usar o driver para falsificar sua localização geográfica para enganar o sistema e jogar de qualquer lugar. O malware permite que eles ganhem uma vantagem em jogos e possivelmente explorem outros jogadores, comprometendo suas contas por meio de ferramentas comuns como keyloggers”, de acordo com o conselho da Microsoft.
A empresa colaborou com a Microsoft para analisar e corrigir quaisquer falhas de segurança, incluindo hardwares afetado. Os usuários obterão drivers limpos por meio do Windows Update. Além disso, eles acrescentaram que o rootkit só funciona se um usuário autorizar o driver e obter acesso de administrador em um PC para instalar o driver. A ideia é que o Netfilter não representará uma ameaça para o seu PC, a menos que você saia de seu caminho para instalá-lo.
Veja isso
Windows 11 tem security by design, diz Microsoft
Grupo por trás do hacking à SolarWinds ataca Microsoft
Na sexta-feira, 25, a Microsoft reconheceu o erro, dizendo que os especialistas em segurança estão monitorando todo o incidente e adicionando assinaturas de malware ao Windows Defenders. A empresa também compartilhou as assinaturas com empresas de segurança.
Na manhã de segunda-feira, 28, fornecedores de segurança sinalizaram o arquivo como malicioso. A empresa suspendeu a conta e está analisando os sinais de malware. No entanto, a atividade do autor é limitada ao setor de jogos, especificamente na China, e não parece visar ambientes empresariais. “Não estamos atribuindo isso a um autor ligado a algum Estado-nação neste momento”, disse a empresa.