Bien sabemos que los piratas informáticos utilizan diversidad de métodos para realizar sus fechorías, para tomar ventaja y, en ocasiones, hasta para fastidiar a los gamers o infectar con malware a los jugadores tramposos!
Hackers están infectando con malware a los jugadores tramposos
Según se pudo conocer, el nuevo software que están usando los hackers viene en forma de 2 herramientas que están disponibles en GitHub. Tal parece que los tramposos los utilizan para poder firmar digitalmente controladores de sistemas malignos para que puedan modificar los videojuegos de manera que le den al jugador una ventaja injusta. Los controladores alcanzan superar el obstáculo demandado para que el código de trucos se ejecute dentro del kernel de Windows.
Investigadores del equipo de seguridad Talos de Cisco expresaron hace poco que, diversos grupos de amenazas de habla china han reutilizado las herramientas, uno llamado HookSignTool y el otro FuckCertVerifyTimeValidity. En vez de utilizar el acceso al kernel para hacer trampa, los actores de amenazas lo usan para proporcionar a su malware capacidades que de otra forma no tendrían.
Nueva manera de evitar las limitaciones de los controladores de Windows
Los investigadores mencionaron que durante su investigación, lograron identificar actores de amenazas que aprovechan tanto HookSignTool como FuckCertVerifyTimeValidity, herramientas de falsificación de marcas de tiempo de firmas que han estado disponibles públicamente desde el año de 2019 y 2018 respectivamente, para implementar los controladores maliciosos. Al mismo tiempo que destacaron que aunque han ganado cierta popularidad dentro de la comunidad de desarrollo de trucos de juegos, han podido observar el uso de estas herramientas en controladores de Windows maliciosos que no están relacionados con los trucos de juegos.
Es necesario dejar claro que con el debut de Windows Vista, Microsoft reveló nuevas restricciones estrictas sobre la carga de controladores de sistema que pueden ejecutarse en modo kernel.
Cabe mencionar que los controladores son primordiales para que los dispositivos funcionen con software antivirus, así como también con impresoras y otros tipos de software y periféricos. Pero, durante un largo período han sido una vía conveniente o provechosa para que los piratas informáticos ejecuten malware en modo kernel. Estas irrupciones se encuentran disponibles para los piratas informáticos después de la explotación, es decir, una vez que ya han obtenido privilegios administrativos en una máquina objetivo.
Aunque los actores de amenazas que obtienen dichos privilegios pueden robar contraseñas y tomarse otras libertades, su malware habitualmente debe ejecutarse en el kernel de Windows para poder efectuar una gran cantidad de tareas más avanzadas.
Los desarrolladores de malware con privilegios de administrador ya contaban con una forma bastante bien conocida de eludir sencillamente las restricciones del controlador. Según se conoció, la técnica se conoce como “traiga su propio driver o controlador vulnerable”. No se debe pasar por alto que funciona cargando un controlador de terceros disponible públicamente que ya ha sido firmado y, posteriormente, se descubre que contiene una vulnerabilidad que permite la toma de control del sistema. Los piratas informáticos instalan el controlador posterior al exploit y después explotan la vulnerabilidad del controlador para poder de esta forma, introducir su malware en el kernel de Windows.
Según se ha podido conocer, la técnica que Talos ha descubierto, simboliza una nueva manera de evitar las limitaciones o restricciones de los controladores de Windows. Se beneficia de una laguna que ha existido desde el comienzo de la política de que los controladores viejos se almacenan incluso cuando Microsoft no los ha revisado para garantizar su seguridad.
Ahora bien, hay que resaltar que el método logra funcionar en cualquier certificado robado o incluso, caducado. Algunos de los certificados de este tipo que se abusan más frecuentemente son un lote de 13 que, se incluyeron en una versión dividida de FuckCertVerifyTimeValidity. Los tramposos del juego los han estado utilizando durante muchos años y actualmente, los actores de amenazas han estado haciendo lo mismo.
Investigadores de Talos informaron a Microsoft sobre sus descubrimientos
Se debe dejar claro que los investigadores de Talos informaron a Microsoft sobre sus descubrimientos anteriormente, según se pudo conocer, en respuesta, el fabricante de software lanzó una actualización de Windows recientemente que bloquea todos los certificados informados por Talos.