Hacker verwenden gestohlene Nvidia-Zertifikate, um Malware zu verbergen
Laut Sicherheitsforschern werden Code-Signing-Zertifikate von Nvidia, die aus einem kürzlichen Hack des Chipherstellers extrahiert wurden, für Malware-Zwecke verwendet.
Die Hackergruppe LAPSUS$ behauptete kürzlich, 1 TB an Daten von Nvidia gestohlen zu haben. Jetzt sind vertrauliche Informationen online in Form von zwei Code-Signing-Zertifikaten aufgetaucht, die von Nvidia-Entwicklern zum Signieren ihrer Treiber verwendet werden.
Wie von BleepingComputer berichtet , sind die kompromittierten Signaturzertifikate 2014 bzw. 2018 abgelaufen. Windows ermöglicht jedoch weiterhin die Autorisierung von Treibern mit diesen Zertifikaten. Infolgedessen kann Malware von ihnen maskiert werden, um vertrauenswürdig zu erscheinen, und anschließend den Weg dafür ebnen, dass schädliche Treiber in einem Windows-PC geöffnet werden, ohne entdeckt zu werden.
Bestimmte Varianten von Malware, die mit den oben genannten Nvidia-Zertifikaten signiert waren, wurden auf VirusTotal entdeckt, einem Malware-Scan-Dienst. Die hochgeladenen Proben ergaben, dass sie zum Signieren von Hacking-Tools und Malware verwendet wurden, darunter Cobalt Strike Beacon, Mimikatz, Backdoors und Remote-Access-Trojaner.
Eine Person war in der Lage , eines der Zertifikate zu verwenden , um einen Quasar – Fernzugriffstrojaner zu signieren . In einem anderen Fall wurde ein Windows-Treiber mit einem Zertifikat signiert, was dazu führte, dass 26 Sicherheitsanbieter die Datei zum Zeitpunkt der Erstellung dieses Dokuments als bösartig kennzeichneten.
Laut BleepingComputer könnten bestimmte Dateien aller Wahrscheinlichkeit nach von Sicherheitsforschern auf VirusTotal hochgeladen worden sein. Es gibt auch Hinweise darauf, dass andere Dateien, die vom Dienst überprüft wurden, von Einzelpersonen und Hackern hochgeladen wurden, die Malware verbreiten wollen; Eine solche Datei wurde von 54 Sicherheitsanbietern als bösartig gekennzeichnet .
Sobald ein Angreifer die Methode zur Integration dieser gestohlenen Zertifikate aufdeckt, kann er Programme erstellen, die wie offizielle Nvidia-Anwendungen aussehen. Nach dem Öffnen werden dann bösartige Treiber auf ein Windows-System geladen.
David Weston, Director of Enterprise and OS Security bei Microsoft, kommentierte die Situation auf Twitter. Er erklärte , dass ein Administrator in der Lage sein wird, Windows Defender Application Control (WDAC)-Richtlinien zu konfigurieren, um zu verwalten, welcher spezifische Nvidia-Treiber auf das System geladen werden kann. Wie BleepingComputer jedoch betont, ist die Vertrautheit mit der Implementierung von WDAC unter dem durchschnittlichen Windows-Benutzer nicht üblich.
Was bedeutet das alles eigentlich für Windows-Benutzer? Kurz gesagt, diejenigen, die Malware erstellen, können auf Personen mit bösartigen Treibern abzielen, die nicht leicht erkannt werden können. Sie verbreiten solche Dateien normalerweise über Google über gefälschte Websites zum Herunterladen von Treibern. Laden Sie daher keine Treiber von verdächtigen und nicht vertrauenswürdigen Websites herunter. Laden Sie sie stattdessen direkt von der offiziellen Nvidia-Website herunter. Microsoft arbeitet unterdessen wahrscheinlich daran, die betreffenden Zertifikate zu widerrufen.
An anderer Stelle wird erwartet, dass LAPSUS$ einen 250-GB-Hardwareordner veröffentlicht, den es aus dem Nvidia-Hack erhalten hat. Es drohte zunächst, es am vergangenen Freitag verfügbar zu machen, falls Nvidia seine GPU-Treiber nicht „von jetzt an und für immer“ vollständig quelloffen machen würde. Die Gruppe hat bereits den proprietären DLSS-Code von Team Green geleakt , während sie auch behauptet, den Algorithmus hinter Nvidias Crypto-Mining-Limiter gestohlen zu haben.