又有rootkit利用微软数位签章伪装成合法程式，窃取用户线上游戏帐密及金钱

安全厂商近日发现一只恶意rootkit成功获得微软签章，目的在窃取受害者登入凭证及不法谋利。

最近安全厂商Bitdefender发现的FiveSys rootkit，是继今年7月的Netfilter后，又一只获得微软WHQL（Windows Hardware Quality Labs）数位签章的恶意驱动程式。WHQL签章要求确保所有驱动程式是获得OS厂商验证及签章，但这类签章无法保证出于真正App开发商之手。这显示恶意程式作者想利用微软签章制度，让使用者误以为它是合法驱动程式而安装。

FiveSys这只rootkit散布途径不明，如何获得微软WHQL签章也不得而知。但微软在接获安全厂商的通知后已经否决了它的签章，意谓著该恶意程式无法再任意下载到用户电脑。

研究人员分析FiveSys的结构，它包括多个使用者模式binaries以便在受害装置下载恶意元件。目前辨识出最主要的元件功能，是将使用者流量导引到特定恶意代理服务器；研究人员认为FiveSys目的是在用户连向线上游戏时，将用户流量导向代理服务器时，借此拦截、窃取用户帐密等验证资料，以及劫持游戏用户的金钱支付。在HTTPS连线上FiveSys会安装根凭证，让用户浏览器不会发出恶意代理服务器的警告。

FiveSys另一功能是阻止受害装置下载其他骇客组织撰写的驱动程式，以独占受害者机器。研究人员发现FiveSys和稍早发现的Netfilter似乎存在竞争关系。

Bitdefender相信FiveSys已经锁定游戏用户超过一年。不过这只rootkit目前也仅在中国散布，研究人员判断可能和背后组织独钟于该市场有关。

研究人员说，从技术层面来看，FiveSys并不算是最高明的，但是它滥用微软数位签章这点，显示这类保护机制的可信度已经被严重破坏。