Gli esperti di sicurezza di Cisco Talos hanno recentemente identificato un nuovo driver dannoso chiamato RedDriver, che rappresenta una minaccia significativa per gli utenti di lingua cinese. Questo driver, scoperto durante un’indagine sulla sicurezza informatica, è progettato per dirottare il traffico del browser e sembra essere mirato specificamente alle persone di madrelingua cinese.
Ciò che rende RedDriver particolarmente preoccupante è la sua natura non documentata e l’attribuzione incerta. Sebbene gli autori non siano stati ancora identificati né associati a gruppi criminali informatici noti, gli esperti ritengono probabile che siano di origine cinese, dato che cercano attivamente browser in lingua cinese da compromettere.
L’attacco inizia con l’esecuzione di un file dannoso chiamato DNFClient, che prende il nome dal popolare gioco cinese Dungeon Fighter Online. Una volta attivato, il file avvia il download di RedDriver, un componente cruciale nel processo di infezione a più fasi. RedDriver manipola il sistema operativo per abilitare l’autorizzazione di entità non autorizzate utilizzando certificati rubati per falsificare i timestamp delle firme, eludendo così i criteri di imposizione della firma del driver di Windows.
Grazie a questa tecnica, gli aggressori riescono a sfruttare il Windows Filtering Platform (WFP) per intercettare il traffico del browser. Il WFP è un meccanismo di sicurezza complesso che richiede una vasta esperienza nello sviluppo di driver, suggerendo che gli autori di RedDriver siano esperti in questo campo.
Inoltre, è stato scoperto che i driver certificati dal Windows Hardware Developer Program (MWHDP) di Microsoft sono stati utilizzati a fini dannosi nelle attività successive allo sfruttamento del sistema. Questa scoperta solleva preoccupazioni sulla sicurezza del programma di certificazione di Microsoft e sulla sua capacità di prevenire l’utilizzo improprio dei driver certificati.
I ricercatori di Cisco Talos hanno notato che una versione precedente di RedDriver era stata distribuita insieme a software utilizzato negli internet caffè. Questo è stato evidenziato dall’inclusione di nomi associati al software di gestione degli internet caffè, ai driver della scheda grafica e ai browser. Ciò suggerisce che gli autori di RedDriver abbiano esperienza nello sviluppo di driver dannosi che sono stabili e in grado di evitare arresti anomali, caratteristiche difficili da realizzare.
Al momento, gli esperti non hanno ancora individuato l’obiettivo finale del reindirizzamento del traffico del browser causato da RedDriver. Tuttavia, è chiaro che rappresenta una minaccia significativa per i sistemi infetti. L’utilizzo di un driver dannoso offre numerosi vantaggi agli aggressori, come l’elusione del rilevamento degli endpoint, la manipolazione dei processi di sistema e in modalità utente e la capacità di mantenere una presenza persistente su un sistema compromesso.
Gli utenti sono quindi fortemente incoraggiati a mantenere i propri sistemi operativi e le applicazioni aggiornate, nonché ad adottare precauzioni di sicurezza come l’utilizzo di soluzioni antivirus affidabili e l’evitare di scaricare software da fonti non attendibili.
