Fire Chili Rootkit

Il nefasto gruppo cinese APT (Advanced Persistent Threat) Deep Panda è stato sorpreso a usare una nuova e minacciosa aggiunta al loro arsenale. Chiamato Fire Chili, il malware rientra nella categoria dei rootkit e mira a infettare i sistemi Windows. Secondo il rapporto pubblicato dagli analisti della sicurezza informatica, questo rootkit viene distribuito ai server VMware Horizon tramite l'exploit Log4Shell ed è in grado di influenzare le versioni di Windows fino a Windows 10 Creators Update, che è stato rilasciato nell'aprile 2017.

I rootkit sono tipi di malware estremamente minacciosi, in quanto possono scavare in profondità nei sistemi compromessi ed eseguire azioni intrusive al livello più basso, aggirando così numerosi controlli di sicurezza e misure anti-malware. Per evitare di essere rilevato dagli strumenti antivirus durante l'infezione iniziale, Fire Chili è dotato di certificati digitali validi appartenenti a Frotburn Studios (una società di sviluppo di giochi) o Comodo (uno sviluppatore di software di sicurezza). I ricercatori ritengono che i certificati siano stati sottratti ai rispettivi proprietari.

Una volta avviato, Fire Chili esegue una serie di test di sistema di base nel tentativo di rilevare segni di virtualizzazione o ambienti sandbox. La minaccia assicura inoltre che le strutture e gli oggetti del kernel presi di mira siano presenti nel sistema. L'obiettivo principale del malware è mantenere nascoste le altre azioni intrusive degli hacker. Fire Chili può mascherare operazioni sui file, processi, aggiunte al sistema di registro e connessioni di rete illegittime dall'essere notate dagli utenti o dagli strumenti software di sicurezza. Lo archivia utilizzando IOCTL (chiamate di sistema di controllo input/output) che trasportano gli artefatti danneggiati che possono essere configurati dinamicamente dagli attori delle minacce.