Hacker verwenden gestohlene Nvidia-Zertifikate, um Malware zu verbergen

[ad_1]

Laut Sicherheitsforschern werden Code-Signing-Zertifikate von Nvidia, die aus einem kürzlichen Hack des Chipherstellers extrahiert wurden, für Malware-Zwecke verwendet.

Die Hackergruppe LAPSUS$ behauptete kürzlich, 1 TB an Daten von Nvidia gestohlen zu haben. Jetzt sind vertrauliche Informationen in Form von zwei Code-Signing-Zertifikaten online aufgetaucht, die von Nvidia-Entwicklern zum Signieren ihrer Treiber verwendet werden.

Eine Person, die von mehreren Computern umgeben ist, tippt auf einem Laptop.

Wie von BleepingComputer berichtet, sind die kompromittierten Signaturzertifikate 2014 bzw. 2018 abgelaufen. Windows ermöglicht jedoch weiterhin die Autorisierung von Treibern mit diesen Zertifikaten. Dadurch kann Malware von ihnen maskiert werden, um vertrauenswürdig zu erscheinen, und anschließend den Weg dafür ebnen, dass schädliche Treiber in einem Windows-PC geöffnet werden, ohne entdeckt zu werden.

Bestimmte Varianten von Malware, die mit den oben genannten Nvidia-Zertifikaten signiert waren, wurden auf VirusTotal, einem Malware-Scan-Dienst, entdeckt. Die hochgeladenen Proben ergaben, dass sie zum Signieren von Hacking-Tools und Malware verwendet wurden, darunter Cobalt Strike Beacon, Mimikatz, Backdoors und Remote-Access-Trojaner.

Eine Person konnte eines der Zertifikate verwenden, um einen Quasar-Fernzugriffstrojaner zu signieren. In einem anderen Fall wurde ein Windows-Treiber mit einem Zertifikat signiert, was dazu führte, dass 26 Sicherheitsanbieter die Datei zum Zeitpunkt der Erstellung dieses Dokuments als bösartig kennzeichneten.

Laut BleepingComputer könnten bestimmte Dateien aller Wahrscheinlichkeit nach von Sicherheitsforschern auf VirusTotal hochgeladen worden sein. Es gibt auch Hinweise darauf, dass andere Dateien, die vom Dienst überprüft wurden, von Einzelpersonen und Hackern hochgeladen wurden, die Malware verbreiten wollen; Eine solche Datei wurde von 54 Sicherheitsanbietern als bösartig gekennzeichnet.

Sobald ein Angreifer die Methode zum Integrieren dieser gestohlenen Zertifikate aufdeckt, kann er Programme erstellen, die den Anschein erwecken, offizielle Nvidia-Anwendungen zu sein. Nach dem Öffnen werden dann bösartige Treiber auf ein Windows-System geladen.

David Weston, Director of Enterprise and OS Security bei Microsoft, kommentierte die Situation auf Twitter. Er angegeben dass ein Administrator Windows Defender Application Control (WDAC)-Richtlinien konfigurieren kann, um zu verwalten, welcher spezifische Nvidia-Treiber auf das System geladen werden kann. Wie BleepingComputer jedoch betont, ist die Vertrautheit mit der Implementierung von WDAC unter dem durchschnittlichen Windows-Benutzer nicht üblich.

Was bedeutet das alles eigentlich für Windows-Benutzer? Kurz gesagt, diejenigen, die Malware erstellen, können auf Personen mit bösartigen Treibern abzielen, die nicht leicht erkannt werden können. Sie verbreiten solche Dateien normalerweise über Google über gefälschte Websites zum Herunterladen von Treibern. Laden Sie daher keine Treiber von verdächtigen und nicht vertrauenswürdigen Websites herunter. Laden Sie sie stattdessen direkt von der offiziellen Nvidia-Website herunter. Microsoft arbeitet unterdessen wahrscheinlich daran, die betreffenden Zertifikate zu widerrufen.

An anderer Stelle wird erwartet, dass LAPSUS$ einen 250-GB-Hardwareordner veröffentlicht, den es aus dem Nvidia-Hack erhalten hat. Es drohte zunächst, es am vergangenen Freitag verfügbar zu machen, falls Nvidia seine GPU-Treiber nicht „von jetzt an und für immer“ vollständig quelloffen machen würde. Die Gruppe hat bereits den proprietären DLSS-Code von Team Green geleakt, während sie auch behauptet, den Algorithmus hinter Nvidias Crypto-Mining-Limiter gestohlen zu haben.

Empfehlungen der Redaktion








[ad_2]

Leave a Comment