Китайских геймеров атакует подписанный Microsoft руткит FiveSys

Татьяна Никитина 22 Октября 2021 - 18:21

Домашние пользователи

Windows

Microsoft

Вредоносные программы

Руткиты

...

Китайских геймеров атакует подписанный Microsoft руткит FiveSys

Исследователи из Bitdefender обнаружили еще один руткит с валидной подписью Microsoft. Судя по всему, его распространителей интересуют аккаунты пользователей онлайн-игр в Китае.

По данным экспертов, вредонос, именуемый FiveSys, существует в интернете более года. Злоумышленники используют его для перенаправления трафика на кастомные прокси-серверы, список которых вшит в код (300 доменов в TLD-зоне .xyz).

Редирект работает и для HTTP, и для HTTPS; в последнем случае руткит устанавливает в систему корневой сертификат, чтобы браузер жертвы не выдал тревожное предупреждение. Исследователи полагают, что атаки FiveSys нацелены на кражу учетных данных геймеров и перехват внутриигровых покупок.

Для перенаправления трафика используется специальный скрипт автоматической настройки прокси, который вредоносный драйвер извлекает из ресурсов и скармливает браузеру. Функции самозащиты FiveSys включают блокировку редактирования реестра Windows и установки конкурирующих зловредов, которых он отслеживает по обновляемому списку цифровых подписей (в настоящее время 68 хешей).

Новый руткит состоит из множества компонентов; так, в Bitdefender идентифицировали несколько бинарников режима пользователя, предназначенных для загрузки вредоносных драйверов. Последних, по оценкам, должно быть четыре, но экспертам попалось только два образца — PacSys (доставляет скрипт автонастройки прокси) и Up.sys (загружает и запускает некий исполняемый файл).

Каким образом операторам удалось раздобыть цифровую подпись Microsoft, чтобы беспрепятственно внедрять FiveSys на Windows-машины, установить не удалось. Эта подпись WHQL (Windows Hardware Quality Labs) удостоверяет, что продукт успешно прошел тестирование в специализированной лаборатории и будет стабильно работать на любом оборудовании Windows.

Компания с 2016 настаивает на том, чтобы все драйверы, выпускаемые для ее ОС, имели WHQL-подпись. Однако практика показала, что это препятствие можно обойти — достаточно вспомнить недавний инцидент с Netfilter.

Эксперты сообщили в Microsoft о новой находке, и скомпрометированную подпись уже аннулировали. Отчет по итогам исследования Bitdefender доступен (PDF) на сайте компании.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 05 Июня 2026 - 10:45

GenAI (генеративный искусственный интеллект) Общее

Нейросети и ДНК: ИИ-лидеры просят закрыть лазейку для биооружия

В ИИ-индустрии произошло почти невероятное событие. Главы OpenAI, Anthropic, Google DeepMind и Microsoft AI выступили единым фронтом и попросили Конгресс США срочно ужесточить правила продажи синтетической ДНК и РНК.

3 июня Сэм Альтман, Дарио Амодеи, Демис Хассабис и Мустафа Сулейман подписали открытое письмо, в котором призвали обязать компании, занимающиеся синтезом генетического материала, проверять не только сами заказы, но и их заказчиков.

Причина проста: ИИ становится слишком хорошим помощником. Авторы письма опасаются, что современные языковые модели постепенно снижают порог входа в область биотехнологий.

Если раньше потенциальному злоумышленнику требовались серьёзные знания в биологии, то теперь часть информации может подсказать нейросеть: где искать нужные гены, как формулировать запросы и каким образом обходить существующие механизмы проверки.

Впрочем, паники в письме нет. Подписанты отдельно подчёркивают, что современные ИИ-модели пока не способны самостоятельно разработать полноценный патоген с нуля. Для этого всё ещё нужны профессиональные знания и практические навыки.

Но проблема, по их мнению, в другом: защитные барьеры постепенно размываются, а значит, лучше закрывать уязвимости заранее, чем ждать первого громкого инцидента.

Особенно тревожит экспертов рынок синтетической ДНК. Сегодня заказать нужную генетическую последовательность можно сравнительно быстро и недорого. А если ИИ поможет подобрать или замаскировать опасный заказ, существующие системы контроля могут не справиться.

В качестве примера авторы приводят исследование Microsoft, опубликованное в прошлом году. Тогда ИИ-системы для проектирования белков смогли сгенерировать потенциально опасные последовательности, которые прошли мимо фильтров поставщиков. Формально это были новые белки, но по структуре они напоминали уже известные опасные образцы.

Из этого подписанты делают вывод: проверять нужно не только клиентов биотехнологических компаний, но и сами ИИ-системы. Иными словами, фильтры безопасности придётся строить сразу на нескольких уровнях.

Любопытно, что главным событием здесь многие считают даже не содержание письма, а список подписантов. Когда Альтман и Амодеи оказываются под одним документом, значит, вопрос действительно считают серьёзным.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!