Varias cepas de malware potencialmente peligrosas han logrado eludir el software antivirus mediante el secuestro de certificados de firma robados de Nvidia.
La banda de cibercriminales Lapsus€ anunció recientemente que robaron un terabyte de datos del gigante de los chips y, después de no poder llegar a un acuerdo con la empresa sobre el pago de un rescate, decidieron publicar en línea la información robada.
Cuando los investigadores comenzaron a examinar el tesoro de información confidencial, descubrieron dos certificados de firma de código que los desarrolladores de Nvidia usan para firmar sus controladores y ejecutables. Estas medidas de seguridad ayudan a los puntos finales de Windows a verificar quién creó una aplicación o programa específico, así como a verificar que no se haya manipulado nada.
Malware disfrazado de software legítimo
Al cruzar los certificados robados con su base de datos, los investigadores descubrieron rápidamente que se estaban utilizando para firmar malware y otras herramientas maliciosas.
Como se informó en el servicio de escaneo de malware VirusTotal, los certificados se usaron para firmar balizas Cobalt Strike, Mimikatz, así como varias puertas traseras, troyanos de acceso remoto y otro malware.
Según los investigadores de seguridad Kevin Beaumont y Will Dormann, los certificados robados se pueden encontrar con estos números de serie:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Ambos certificados ya habrían caducado, pero eso no impedirá que Windows permita cargar en el sistema operativo un controlador firmado con ellos.
Hay formas de configurar las políticas de control de aplicaciones de Windows Defender para eliminar los controladores Nvidia comprometidos, pero como dice BleepingComputer, "no es una tarea fácil, especialmente para los usuarios de Windows que no son de TI", que tienen que esperar. certificado. lista de revocaciones.
Lapsus€ se está haciendo un nombre con bastante rapidez. Después de apuntar a Impresa, el conglomerado de medios más grande de Portugal, a fines del año pasado, derribando varios sitios web, canales de televisión, infraestructura de AWS y cuentas de Twitter, también atacó los sitios web del Ministerio de Salud de Brasil (MoH), suspendiendo los esfuerzos de vacunación contra el Covid-19. a lo largo de la campaña. Afirmó haber robado 50 TB de datos, antes de borrarlos de los servidores del Ministerio de Salud.
En el ataque a Nvidia, el grupo afirma haber tomado las credenciales de inicio de sesión y otros datos confidenciales de decenas de miles de empleados de Nvidia. También dice que los datos lo ayudaron a crear una herramienta para eliminar el limitador de tasa de hash para la GPU RTX 3000, que se puede usar para extraer Ether con solo el 50 % de su capacidad.
También lanzó 190 GB de datos confidenciales robados de Samsung que, si se descubre que son genuinos, podrían ser una de las filtraciones de datos más dañinas que ocurran este año.
Через: BleepingComputer