Diversi ceppi di malware potenzialmente pericolosi sono riusciti a bypassare il software antivirus dirottando i certificati di firma rubati a Nvidia.
La banda di criminali informatici Lapsus€ ha recentemente annunciato di aver rubato un terabyte di dati al gigante dei chip e, dopo aver fallito nel raggiungere un accordo con l'azienda sul pagamento del riscatto, ha deciso di pubblicare online le informazioni rubate.
Quando i ricercatori hanno iniziato a vagliare questa raccolta di informazioni sensibili, hanno scoperto due certificati di firma del codice che gli sviluppatori Nvidia utilizzano per firmare i propri driver ed eseguibili. Queste misure di sicurezza aiutano gli endpoint Windows a verificare chi ha creato un'applicazione o un programma specifico, nonché a verificare che nulla sia stato manomesso.
Malware mascherato da software legittimo
Confrontando i certificati rubati con il loro database, i ricercatori hanno rapidamente scoperto che venivano utilizzati per firmare malware e altri strumenti dannosi.
Come riportato dal servizio di scansione malware VirusTotal, i certificati sono stati utilizzati per firmare Cobalt Strike, beacon Mimikatz, nonché varie backdoor, trojan di accesso remoto e altro malware.
Secondo i ricercatori sulla sicurezza Kevin Beaumont e Will Dormann, i certificati rubati possono essere trovati con questi numeri di serie:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Entrambi i certificati sarebbero già scaduti, ma ciò non impedirà a Windows di consentire il caricamento nel sistema operativo di un driver firmato con essi.
Esistono modi per configurare i criteri di controllo delle applicazioni di Windows Defender per rimuovere i driver Nvidia compromessi, ma come afferma BleepingComputer, "non è un compito facile, soprattutto per gli utenti Windows non IT" che devono aspettare. certificato. elenco delle revoche.
Lapsus€ si sta facendo un nome abbastanza rapidamente. Dopo aver preso di mira Impresa, il più grande conglomerato mediatico portoghese, alla fine dell'anno scorso, bloccando diversi siti web, canali TV, infrastrutture AWS e account Twitter, ha anche attaccato i siti web del Ministero della Salute brasiliano (MoH), sospendendo gli sforzi di vaccinazione contro il Covid-19. durante tutta la campagna. Ha affermato di aver rubato 50 TB di dati, prima di cancellarli dai server del Ministero della Salute.
Nell'attacco a Nvidia, il gruppo afferma di aver preso le credenziali di accesso e altri dati sensibili di decine di migliaia di dipendenti Nvidia. Dice anche che i dati lo hanno aiutato a creare uno strumento per rimuovere il limitatore dell'hash rate per la GPU RTX 3000, che può essere utilizzata per estrarre Ether solo al 50% della sua capacità.
Ha inoltre rilasciato 190 GB di dati riservati rubati a Samsung che, se ritenuti autentici, potrebbero rappresentare una delle violazioni di dati più dannose avvenute quest’anno.
Via: BleepingComputer