Microsoft заяви, че е установено, че драйвер, сертифициран от Програмата за хардуерна съвместимост на Windows (WHCP), съдържа руткит зловреден софтуер, но казва, че инфраструктурата на сертификата не е била компрометирана.
В изявление, публикувано в Центъра за отговор на сигурността на Microsoft, компанията потвърждава, че е открила компрометирания драйвер и е спряла акаунта, който първоначално го е изпратил. Както беше посочено от Bleeping Computer, този инцидент вероятно е причинен от слабост в самия процес на подписване на код.
Microsoft също казва, че не е видял доказателства, че сертификатът за подписване на WHCP е бил компрометиран, така че е малко вероятно някой да е успял да фалшифицира сертификата.
Руткитът е проектиран да маскира присъствието си, което го прави труден за откриване дори докато работи. Зловреден софтуер, скрит в руткит, може да се използва за кражба на данни, промяна на отчети, поемане на контрол над заразената система и т.н.
Според Microsoft злонамереният софтуер на драйвера изглежда е предназначен за използване с онлайн игри и може да излъже геолокацията на потребителя, за да му позволи да играе отвсякъде. Може също така да им позволи да компрометират акаунти на други играчи, като използват кийлогъри.
Според доклада на Security Response Center, „Дейността на актьора е ограничена до сектора на игрите конкретно в Китай и не изглежда да е насочена към корпоративни среди.“Той също така посочва, че драйверът трябва да бъде инсталиран ръчно, за да бъде ефективен.
Освен ако системата вече не е била компрометирана и предоставя администраторски достъп на нападател или самият потребител го прави нарочно, няма реален риск.
Microsoft също казва, че драйверът и свързаните с него файлове ще бъдат открити и блокирани от MS Defender for Endpoint. Ако смятате, че може да сте изтеглили или инсталирали този драйвер, можете да проверите „Индикатори за компрометиране“в отчета на Центъра за отговор на сигурността.
