O rootkit conhecido como “Netfilter” parece ter a função primária de “escutar conexões SSL”, o que, em tese, permite a um hacker observar o tráfego e interceptar dados sigilosos.

Um rootkit – o tipo de malware correspondente ao Netfilter – é escrito de forma impede que seja “visto” pelo sistema operacional. Este requer certificados de autenticação de tráfego para dados enviados por meio de conexões SSL seguras e criptografadas (protocolo TLS, ou “Transport Layer Security”).

Essas conexões, em tese, só permitem que o conteúdo que circula por elas seja visto por quem o envia e por quem o recebe. É a chamada “criptografia de ponta a ponta” que você ouve falar em apps como WhatsApp, Zoom e similares.

Isso segue um protocolo específico para garantir que a segurança seja genuína e confiável. Certificados do tipo são emitidos por autoridades digitais parceiras da Microsoft.

Ao instalar um certificado falso, o Netfilter contorna essa necessidade. E como o Windows não o “enxerga”, os mecanismos de defesa do sistema operacional não vão identificá-lo e, evidentemente, não poderão removê-lo.

A Microsoft comentou o caso, reconhecendo, no entanto, que o caso é grave:

“A Microsoft está investigando a ação de distribuição de drivers maliciosos dentro de ambientes de jogos. O proprietário entregou o driver para certificação por meio do WHCP. Os drivers em si foram construídos por uma empresa terceirizada. Nós suspendemos a conta e revisamos seus pedidos de certificação em busca de sinais adicionais de emprego de malware”.

A empresa também atualizou seus registros de assinatura de malware para que o Netfilter seja apropriadamente identificado daqui em diante.

Fonte

Veja também:

Os Novos Truques Dos Ransomware- Acessar

Atinja O Nível Ideal De Cibersegurança Com Proteção Gerenciada E Detecção De Endpoint Habilitadas Na Nuvem- Acessar