Dei pirati stanno utilizzando certificati di firma del codice NVIDIA rubati per far sembrare fidato il loro malware e far caricare driver malevoli in Windows.
NVIDIA ha confermato di aver subito un cyberattacco che ha consentito a dei pirati di rubare credenziali dei dipendenti e dati proprietari. Il gruppo di cybercriminali, noto come Lapsus$, dichiara di aver rubato e 1TB di dati e ha iniziato a distribuirli online dopo che l’azienda si è rifiutata di negoziare.
Come riportato in un articolo di Bleeping Computer, il materiale divulgato include due certificati di firma del codice usati dagli sviluppatori di NVIDIA per i loro driver ed eseguibili per permettere agli utenti e a Windows di verificare l’autenticità dei file. Subito dopo la loro diffusione hanno iniziato a essere usati da pirati.
Secondo i campioni rilevati da VirusTotal, sono stati usati per firmare malware e strumenti di hacking come beacon Cobalt Strike, Mimikatz, backdoor e trojan per l’accesso remoto.
I ricercatori nell’ambito della sicurezza Kevin Beaumont e Will Dormann hanno condiviso che i certificati rubati usano i numeri di serie 43BB437D609866286DD839E1D00309F5 e 14781bc862e8dc503a559346f5dcc518.
Anche se entrambi i certificati rubati a NVIDIA sono scaduti, Windows consente comunque a un driver firmato con essi di essere caricato nel sistema operativo.
David Weston, direttore della sicurezza aziendale e del sistema operativo di Microsoft, ha pubblicato su Twitter che per evitare di caricare driver vulnerabili noti nel sistema operativo gli amministratori di sistema possono configurare le regole delle policy di Windows Defender Application Control.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2022/03/07/certificati-nvidia-rubati-firmano-malware/?utm_source=rss&utm_medium=rss&utm_campaign=certificati-nvidia-rubati-firmano-malware