A Microsoft afirmou que um driver certificado pelo Windows Hardware Compatibility Program (WHCP) contém malware de rootkit, mas diz que a infraestrutura do certificado não foi comprometida.
Em um comunicado publicado no Centro de Respostas de Segurança da Microsoft, a empresa confirma que descobriu o driver comprometido e suspendeu a conta que o enviou originalmente. Conforme apontado pelo Bleeping Computer, esse incidente provavelmente foi causado por uma falha no próprio processo de assinatura de código.
A Microsoft também diz que não viu nenhuma evidência de que o certificado de assinatura WHCP foi comprometido, então é improvável que alguém tenha conseguido falsificar a certificação.
Um rootkit é projetado para mascarar sua presença, tornando-o difícil de detectar mesmo enquanto está em execução. Malware escondido dentro de um rootkit pode ser usado para roubar dados, alterar relatórios, assumir o controle do sistema infectado e assim por diante.
De acordo com a Microsoft, o malware do driver parece destinado ao uso com jogos online e pode falsificar a geolocalização do usuário para permitir que ele jogue de qualquer lugar. Também pode permitir que eles comprometam as contas de outros jogadores usando keyloggers.
De acordo com o relatório do Security Response Center, "a atividade do ator é limitada ao setor de jogos especificamente na China e não parece visar ambientes corporativos". Ele também afirma que o driver deve ser instalado manualmente para ser eficaz.
A menos que um sistema já tenha sido comprometido e conceda acesso de administrador a um invasor, ou o próprio usuário o faça de propósito, não há risco real.
A Microsoft também diz que o driver e seus arquivos associados serão detectados e bloqueados pelo MS Defender for Endpoint. Se você acha que pode ter baixado ou instalado este driver, verifique "Indicators of Compromise" no relatório do Security Response Center.
