Avec signature numérique de Microsoft dans le cadre de son programme de compatibilité matérielle Windows (WHCP ; Windows Hardware Compatibility Program), un driver du nom de Netfilter s'est révélé être un rootkit malveillant tel que qualifié par le chercheur en sécurité Karsten Hahn de G Data.
Dans un rapport, il évoque pour les pilotes Netfilter - Network filter - l'installation d'une configuration proxy et une communication avec des serveurs de commande et contrôle en Chine. La signature par Microsoft avait initialement fait penser à un faux positif.
Selon le groupe de Redmond, l'activité de l'acteur malveillant impliqué est limité au secteur du jeu vidéo et en particulier en Chine. Des environnements d'entreprise n'auraient pas été pris pour cible et l'incident de sécurité ne serait pas l'œuvre d'un acteur étatique.
Une attaque limitée mais un trou dans la raquette pour WHCP
" L'objectif de l'acteur est d'utiliser le driver pour usurper une géolocalisation afin de tromper le système et jouer de n'importe où. Le malware lui permet de prendre un avantage dans les jeux et éventuellement d'exploiter d'autres joueurs en compromettant leurs comptes à l'aide d'outils comme des keyloggers ", écrit Microsoft.
Le compte du vendeur via lequel le driver a été soumis au programme WHCP a été suspendu et les autres pilotes du compte ont été analysés. L'infrastructure en rapport avec WHCP n'a pas été compromise.
Microsoft précise par ailleurs le blocage du driver et des fichiers associés via Microsoft Defender for Endpoint. Les détections ont été partagées avec les éditeurs tiers de solutions antivirus.
