Hackers estão usando certificados roubados da Nvidia para esconder malware
Os certificados de assinatura de código da Nvidia que foram extraídos de um hack recente da fabricante de chips estão sendo usados para fins de malware, de acordo com pesquisadores de segurança.
O grupo de hackers LAPSUS$ recentemente alegou ter roubado 1 TB de dados da Nvidia. Agora, informações confidenciais apareceram online na forma de dois certificados de assinatura de código que são usados pelos desenvolvedores da Nvidia para assinar seus drivers.
Conforme relatado pelo BleepingComputer , os certificados de assinatura comprometidos expiraram em 2014 e 2018, respectivamente. No entanto, o Windows ainda permite que os drivers sejam autorizados com esses certificados. Como resultado, o malware pode ser mascarado por eles para parecer confiável, abrindo caminho para que drivers nocivos sejam abertos em um PC com Windows sem serem detectados.
Certas variações de malware que foram assinadas com os certificados Nvidia mencionados acima foram descobertas no VirusTotal, um serviço de verificação de malware. As amostras que foram carregadas descobriram que estavam sendo usadas para assinar ferramentas de hackers e malware, incluindo Cobalt Strike Beacon, Mimikatz, backdoors e trojans de acesso remoto.
Um indivíduo foi capaz de usar um dos certificados para assinar um trojan de acesso remoto Quasar . Em outro caso, um driver do Windows foi assinado por um certificado, o que resultou em 26 fornecedores de segurança sinalizando o arquivo como malicioso no momento da redação deste artigo.
O BleepingComputer diz que certos arquivos podem ter sido enviados ao VirusTotal por pesquisadores de segurança. Há também evidências que parecem sugerir que outros arquivos que foram verificados pelo serviço foram carregados por indivíduos e hackers que desejam espalhar malware; um desses arquivos foi sinalizado como malicioso por 54 fornecedores de segurança .
Quando um agente de ameaças descobre o método para integrar esses certificados roubados, ele pode criar programas que parecem ser aplicativos oficiais da Nvidia. Uma vez abertos, os drivers maliciosos serão carregados em um sistema Windows.
David Weston, diretor de segurança corporativa e de sistemas operacionais da Microsoft, comentou a situação no Twitter. Ele afirmou que um administrador poderá configurar as políticas do Windows Defender Application Control (WDAC) para gerenciar qual driver Nvidia específico pode ser carregado no sistema. No entanto, como BleepingComputer aponta, estar familiarizado com a implementação do WDAC não é uma característica comum entre o usuário médio do Windows.
Então, o que tudo isso realmente significa para os usuários do Windows? Em poucas palavras, aqueles que criam malware podem ter como alvo indivíduos com drivers maliciosos que não podem ser facilmente detectados. Eles normalmente espalham esses arquivos pelo Google por meio de sites falsos de download de drivers. Com isso em mente, não baixe nenhum driver de sites suspeitos e não confiáveis. Em vez disso, baixe-os diretamente do site oficial da Nvidia daqui para frente. Enquanto isso, a Microsoft provavelmente está trabalhando para revogar os certificados em questão.
Em outros lugares, espera-se que o LAPSUS$ libere uma pasta de hardware de 250 GB obtida do hack da Nvidia. Inicialmente, ameaçou disponibilizá-lo na sexta-feira passada, caso a Nvidia não conseguisse tornar seus drivers de GPU completamente de código aberto “de agora em diante e para sempre”. O grupo já vazou o código DLSS proprietário do Team Green , enquanto também afirma ter roubado o algoritmo por trás do limitador de mineração de criptografia da Nvidia .