Los piratas informáticos están utilizando certificados robados de Nvidia para ocultar malware
Los certificados de firma de código de Nvidia que se extrajeron de un hack reciente del fabricante de chips se están utilizando con fines de malware, según los investigadores de seguridad.
El grupo de piratería LAPSUS$ afirmó recientemente haber robado 1 TB de datos de Nvidia. Ahora, la información confidencial ha aparecido en línea en forma de dos certificados de firma de código que utilizan los desarrolladores de Nvidia para firmar sus controladores.
Según lo informado por BleepingComputer , los certificados de firma comprometidos expiraron en 2014 y 2018, respectivamente. Sin embargo, Windows aún permite autorizar a los controladores con estos certificados. Como resultado, el malware puede ser enmascarado por ellos para parecer confiable, allanando el camino para que los controladores dañinos se abran en una PC con Windows sin ser detectados.
Ciertas variaciones de malware que se firmaron con los certificados de Nvidia antes mencionados se descubrieron en VirusTotal, un servicio de análisis de malware. Las muestras que se cargaron encontraron que se estaban utilizando para firmar herramientas de piratería y malware, incluidos Cobalt Strike Beacon, Mimikatz, puertas traseras y troyanos de acceso remoto.
Una persona pudo utilizar uno de los certificados para firmar un troyano de acceso remoto de Quasar . En otro caso, un controlador de Windows fue firmado por un certificado, lo que resultó en que 26 proveedores de seguridad marcaran el archivo como malicioso al momento de escribir este artículo.
BleepingComputer dice que es muy probable que los investigadores de seguridad hayan subido ciertos archivos a VirusTotal. También hay evidencia que parece sugerir que otros archivos que fueron revisados por el servicio fueron cargados por individuos y piratas informáticos que desean propagar malware; uno de esos archivos fue marcado como malicioso por 54 proveedores de seguridad .
Una vez que un actor de amenazas descubre el método para integrar estos certificados robados, puede crear programas que parecen ser aplicaciones oficiales de Nvidia. Una vez abiertos, los controladores maliciosos se cargarán en un sistema Windows.
David Weston, director de seguridad empresarial y del sistema operativo de Microsoft, comentó la situación en Twitter. Dijo que un administrador podrá configurar las políticas de Control de aplicaciones de Windows Defender (WDAC) para administrar qué controlador específico de Nvidia se puede cargar en el sistema. Sin embargo, como señala BleepingComputer, estar familiarizado con la implementación de WDAC no es un rasgo común entre el usuario promedio de Windows.
Entonces, ¿qué significa todo esto realmente para los usuarios de Windows? En pocas palabras, quienes crean malware pueden dirigirse a personas con controladores maliciosos que no se pueden detectar fácilmente. Por lo general, difunden dichos archivos a través de Google a través de sitios web de descarga de controladores falsos. Teniendo esto en cuenta, no descargue ningún controlador de sitios web sospechosos y no confiables. En su lugar, descárguelos directamente del sitio web oficial de Nvidia en el futuro. Mientras tanto, es probable que Microsoft esté trabajando para revocar los certificados en cuestión.
En otros lugares, se espera que LAPSUS$ lance una carpeta de hardware de 250 GB que obtuvo del hackeo de Nvidia. Inicialmente amenazó con hacerlo disponible el viernes pasado si Nvidia no lograba que sus controladores de GPU fueran completamente de código abierto "a partir de ahora y para siempre". El grupo ya filtró el código DLSS propietario de Team Green , mientras que también afirma haber robado el algoritmo detrás del limitador de criptominería de Nvidia .