Des pirates chinois déploient un Rootkit signé Microsoft pour cibler le secteur des jeux vidéo

Trend Micro a attribué le groupe d’activités au même acteur que celui qui avait été identifié comme étant à l’origine du rootkit FiveSys, révélé en octobre 2021.

« Cet acteur malveillant est originaire de Chine et ses principales victimes sont le secteur des jeux en Chine », ont déclaré Mahmoud Zohdy, Sherif Magdy et Mohamed Fahmy de Trend Micro. Leur logiciel malveillant semble être passé par le processus WHQL (Windows Hardware Quality Labs) pour obtenir une signature valide.

De multiples variantes du rootkit couvrant huit groupes différents ont été découvertes, avec 75 pilotes de ce type signés à l’aide du programme WHQL de Microsoft en 2022 et 2023.

L’analyse de certains échantillons par Trend Micro a révélé la présence de messages de débogage dans le code source, ce qui indique que l’opération est encore en phase de développement et de test.
Au cours des étapes suivantes, le pilote de première étape désactive le contrôle de compte d’utilisateur (UAC) et le mode Secure Desktop en modifiant le registre et initialise les objets Winsock Kernel (WSK) pour initier la communication réseau avec le serveur distant. Il interroge ensuite périodiquement le serveur pour récupérer d’autres charges utiles et les charger directement dans la mémoire après avoir décodé et décrypté les données reçues, fonctionnant ainsi comme un chargeur de pilotes de noyau furtif capable de contourner les détections. « Le binaire principal agit comme un chargeur universel qui permet aux attaquants de charger directement un module de noyau non signé de deuxième étape », expliquent les chercheurs. Chaque plug-in de deuxième étape est personnalisé en fonction de la machine victime sur laquelle il est déployé, certains contenant même un pilote compilé personnalisé pour chaque machine. Chaque plug-in dispose d’un ensemble spécifique d’actions à exécuter à partir de l’espace du noyau.

Les plug-ins, pour leur part, sont dotés de différentes capacités permettant d’assurer la persistance, de désarmer l’antivirus Microsoft Defender, de déployer un proxy sur la machine et de rediriger le trafic de navigation web vers un serveur proxy distant. Tout comme FiveSys, les nouvelles détections de rootkits se sont limitées exclusivement à la Chine.

« Les acteurs malveillants continueront à utiliser des rootkits pour dissimuler des codes malveillants aux outils de sécurité, Les acteurs malveillants continueront d’utiliser des rootkits pour dissimuler des codes malveillants aux outils de sécurité, affaiblir les défenses et passer inaperçus pendant de longues périodes », ont déclaré les chercheurs. « Ces rootkits seront largement utilisés par des groupes sophistiqués qui possèdent à la fois les compétences nécessaires pour faire de la rétro-ingénierie sur des composants de système de bas niveau et les ressources requises pour développer de tels outils. »

Les rootkits sont un type de logiciel malveillant qui permet aux attaquants d’obtenir un accès privilégié aux machines Windows et d’échapper à la détection par les logiciels de sécurité.

Inscrivez-vous gratuitement à CyberCare et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.