Microsoft valida driver com malware por engano

A Microsoft admitiu ter validado, por engano, um driver malicioso voltado a ciberataques contra o público gamer. A aplicação, chamada de Netfilter, é voltada para permitir o acesso e controle remotos dos computadores, abrindo backdoors e se comunicando com servidores de comando e controle localizados na China, de onde receberiam informações para a instalação de novas pragas ou a obtenção de informações das vítimas.

• Antivírus falharam na detecção de 74% dos malwares disseminados no começo do ano
• Criminosos usam falso suporte de call center para contaminar com ransomware
• Malwares são a maior preocupação de segurança de empresas brasileiras

A descoberta sobre a praga foi feita pelo analista Karsten Hahn, da empresa especializada em segurança G Data, e foi encarada inicialmente como um falso positivo. Com a praga sendo explorada pela comunidade de segurança e depois pela própria Microsoft, entretanto, veio a notícia sobre a validação equivocada, com os indicadores de ameaça já tendo sido incluídos no Defender e outros softwares de proteção, enquanto o certificado da aplicação foi revogado, de forma que eventuais usuários que tiverem contato com ela sejam informados sobre o perigo na hora da instalação.

Os detalhes sobre o caso, entretanto, ainda são nebulosos, com a Microsoft afirmando que está conduzindo uma investigação interna para apurar como o Netfilter acabou sendo validado como uma solução legítima. O processo é necessário desde os tempos do Windows Vista, principalmente para drivers, com verificações de segurança, confiabilidade e compatibilidade sendo realizadas pela empresa para garantir a segurança e o funcionamento de drivers e outros elementos essenciais para o sistema operacional ou atualização de dispositivos.

Enquanto isso, também não foi divulgado ao certo qual ação, se alguma, o Netfilter estava tomando após a instalação. Sabe-se, como dito, que ele se comunicava com servidores de comando e controle localizados na China; enquanto não tinha funcionalidade real, a praga era capaz de obter informações do computador em que estava instalado, bem como receber URLs de direcionamento que poderiam, mais à frente, levar a ataques direcionados contra as vítimas. A suposição é de que os golpes, também, seriam realizados em território chinês.

De acordo com os especialistas em segurança, não existem indícios de que um certificado furtado foi utilizado pelos cibercriminosos, o que pode indicar que o Netfilter efetivamente foi aprovado por meio dos processos usuais de validação. A Microsoft promete revelar mais detalhes sobre o caso em breve, assim que terminar a própria análise sobre o caso. Por enquanto, a empresa disse que suspendeu a conta de desenvolvedor responsável pela submissão e que não existem indícios de clientes corporativos contaminados pela praga.

Caso a operação do malware tivesse seguido adiante, estaríamos diante de uma campanha de ataques de cadeia de suprimentos, quando a contaminação acontecem em softwares essenciais ou drivers voltados ao funcionamento de acessórios, sistemas e periféricos, muitas vezes, sem a ação direta do usuário. Os especialistas, entretanto, não divulgaram como a campanha com o Netfilter acontecia, divulgando apenas seus indicadores de ameaça e os detalhes sobre os servidores de comando e controle usados por ele.

Fonte: Bleeping Computer