Por causa de dados vazados vinculados a um Nvidia hackeado por um grupo que se autodenomina Lapsus$certificados de assinatura de código roubados estão sendo usados para obter acesso remoto a máquinas desavisadas e, de outra forma, implantar software malicioso.
De acordo com o Techpowerupos certificados estão sendo usados para “desenvolver uma nova geração de malware” e BleepingComputador lista Cobalt Strike beacons, Mimikatz, backdoors e Trojans de acesso remoto (RATs) como apenas alguns dos malwares que estão sendo implantados por esse meio.
Se você não estiver ciente, um certificado de assinatura de código é algo que os desenvolvedores usam para assinar arquivos e drivers executáveis antes de distribuí-los ao público. É uma maneira mais segura para o Windows e os usuários em potencial verificarem a propriedade do arquivo original. A Microsoft exige que os drivers do modo kernel sejam assinados por código, caso contrário, o sistema operacional se recusará a abrir o arquivo.
Se algum hooligan assinar malware com um código genuíno da Nvidia, seu PC pode não conseguir capturar o malware antes de descompactar e causar estragos em seu sistema.
O recente cerco digital da Nvidia viu Lapsus$ exigindo que a empresa libere um bypass do limitador de hashrate, uma demanda que não foi atendida. As consequências resultaram no vazamento não apenas de certificados de assinatura de código, mas também de 71.000 credenciais de funcionários, Código fonte DLSS da Nvidiae talvez até alguns nomes de GPU GeForce de última geração.
Como parte do #NvidiaLeaks, dois certificados de assinatura de código foram comprometidos. Embora tenham expirado, o Windows ainda permite que sejam usados para fins de assinatura de driver. Veja a palestra que dei em BH/DC para mais contexto sobre certificados vazados: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd3 de março de 2022
Claro, não demorou muito para que os códigos de certificado vazados se juntassem ao arsenal de hackers à espreita na web, que aproveitaram o potencial de se esconder atrás dos códigos genuínos da Nvidia para realizar seus planos malévolos.
Agora os códigos estão sendo usados para assinar certificados para drivers do Windows, juntamente com Quasar RATs, como VirusTotal mostra atualmente, “46 fornecedores de segurança e 1 sandbox sinalizaram este arquivo como malicioso”.
BleepingComputer, graças aos relatórios afiados de pesquisadores de segurança Kevin Beaumont e Will Dormannanota os seguintes números de série como aqueles a serem observados:
- 43BB437D609866286DD839E1D00309F5
- 14781bc862e8dc503a559346f5dcc518
Ambos os códigos são assinaturas Nvidia efetivamente expiradas, mas seu sistema operacional ainda permitirá que eles passem da mesma forma. Apenas algo para ficar de olho se você estiver pensando em baixar um arquivo que você acha que pode ter sido adulterado.
Existem maneiras de diga ao Windows para não permitir esses códigos assinados, mas pode ser difícil de implementar se você não tiver um histórico em TI. Eles também podem ser uma dor quando você realmente instala um driver Nvidia legitimamente assinado.
Como sempre, fique seguro lá fora.
