17.6 C
Lisboa
Quarta-feira, Julho 6, 2022

Dados roubados da Nvidia estão sendo usados ​​para disfarçar malware como drivers de GPU

Must read



Por causa de dados vazados vinculados a um Nvidia hackeado por um grupo que se autodenomina Lapsus$certificados de assinatura de código roubados estão sendo usados ​​para obter acesso remoto a máquinas desavisadas e, de outra forma, implantar software malicioso.

De acordo com o Techpowerupos certificados estão sendo usados ​​para “desenvolver uma nova geração de malware” e BleepingComputador lista Cobalt Strike beacons, Mimikatz, backdoors e Trojans de acesso remoto (RATs) como apenas alguns dos malwares que estão sendo implantados por esse meio.

Se você não estiver ciente, um certificado de assinatura de código é algo que os desenvolvedores usam para assinar arquivos e drivers executáveis ​​antes de distribuí-los ao público. É uma maneira mais segura para o Windows e os usuários em potencial verificarem a propriedade do arquivo original. A Microsoft exige que os drivers do modo kernel sejam assinados por código, caso contrário, o sistema operacional se recusará a abrir o arquivo.

Se algum hooligan assinar malware com um código genuíno da Nvidia, seu PC pode não conseguir capturar o malware antes de descompactar e causar estragos em seu sistema.

O recente cerco digital da Nvidia viu Lapsus$ exigindo que a empresa libere um bypass do limitador de hashrate, uma demanda que não foi atendida. As consequências resultaram no vazamento não apenas de certificados de assinatura de código, mas também de 71.000 credenciais de funcionários, Código fonte DLSS da Nvidiae talvez até alguns nomes de GPU GeForce de última geração.

Ver mais

Claro, não demorou muito para que os códigos de certificado vazados se juntassem ao arsenal de hackers à espreita na web, que aproveitaram o potencial de se esconder atrás dos códigos genuínos da Nvidia para realizar seus planos malévolos.

Agora os códigos estão sendo usados ​​para assinar certificados para drivers do Windows, juntamente com Quasar RATs, como VirusTotal mostra atualmente, “46 fornecedores de segurança e 1 sandbox sinalizaram este arquivo como malicioso”.

BleepingComputer, graças aos relatórios afiados de pesquisadores de segurança Kevin Beaumont e Will Dormannanota os seguintes números de série como aqueles a serem observados:

  • 43BB437D609866286DD839E1D00309F5
  • 14781bc862e8dc503a559346f5dcc518

Ambos os códigos são assinaturas Nvidia efetivamente expiradas, mas seu sistema operacional ainda permitirá que eles passem da mesma forma. Apenas algo para ficar de olho se você estiver pensando em baixar um arquivo que você acha que pode ter sido adulterado.

Existem maneiras de diga ao Windows para não permitir esses códigos assinados, mas pode ser difícil de implementar se você não tiver um histórico em TI. Eles também podem ser uma dor quando você realmente instala um driver Nvidia legitimamente assinado.

Como sempre, fique seguro lá fora.





Fonte deste Artigo

- Advertisement -spot_img

More articles

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

- Advertisement -spot_img

Latest article