Microsoft заявила, что драйвер, сертифицированный Программой совместимости оборудования Windows (WHCP), содержит вредоносный руткит, но утверждает, что инфраструктура сертификата не была скомпрометирована.
В заявлении, опубликованном в Центре реагирования на проблемы безопасности Microsoft, компания подтверждает, что обнаружила скомпрометированный драйвер и заблокировала учетную запись, которая изначально его представила. Как указывает Bleeping Computer, этот инцидент, вероятно, был вызван слабостью самого процесса подписи кода.
Microsoft также говорит, что не видела доказательств того, что сертификат подписи WHCP был скомпрометирован, поэтому маловероятно, что кто-то смог подделать сертификат.
Руткит предназначен для маскировки своего присутствия, что затрудняет его обнаружение даже во время работы. Вредоносное ПО, скрытое внутри руткита, может использоваться для кражи данных, изменения отчетов, получения контроля над зараженной системой и т. д.
По данным Microsoft, вредоносное ПО драйвера, похоже, предназначено для использования в онлайн-играх и может подделывать геолокацию пользователя, чтобы позволить ему играть из любого места. Это также может позволить им взломать учетные записи других игроков с помощью клавиатурных шпионов.
Согласно отчету Центра реагирования службы безопасности, «деятельность актера ограничена игровым сектором, особенно в Китае, и, похоже, не нацелена на корпоративную среду». В нем также говорится, что драйвер должен быть установлен вручную, чтобы он работал.
Если система уже не была скомпрометирована и не предоставила администраторский доступ злоумышленнику, или пользователь сам сделал это намеренно, реального риска нет.
Microsoft также говорит, что драйвер и связанные с ним файлы будут обнаружены и заблокированы MS Defender для конечной точки. Если вы считаете, что скачали или установили этот драйвер, проверьте «Индикаторы компрометации» в отчете Центра реагирования безопасности.
