Поради изтекли данни, свързани с хакването на Nvidia от група, наричаща себе си Lapsus$, откраднатите сертификати за подписване на код се използват за получаване на отдалечен достъп до нищо неподозиращи машини и за други начини за внедряване на злонамерен софтуер.
Сертификатите се използват за „разработване на нова версия злонамерен софтуер“, а BleepingComputer изброява Cobalt Strike, Mimikatz, експлойти и троянски коне за отдалечен достъп (RAT) като само част от зловредния софтуер, който се внедрява по този начин.
Ако не сте наясно, сертификатът за подписване на код е нещо, което разработчиците използват за подписване на изпълними файлове и драйвъри, преди да ги пуснат в публичното пространство. Това е по-сигурен начин за Windows и бъдещите потребители да проверят собствеността на оригиналния файл. Microsoft изисква драйвърите за режим на ядрото да бъдат кодирани, в противен случай операционната система ще откаже да отвори файла.
Ако някой хакер подпише злонамерен софтуер с истински код от Nvidia, вашият компютър може да не успее да улови злонамерения софтуер, преди да се разархивира, и да нанесе поражения на вашата система.
При неотдавнашната цифрова атака срещу Nvidia Lapsus$ настояваше компанията да пусне начин за заобикаляне на ограничителя на хешрейта: изискване, което не беше изпълнено. Последствието доведе до изтичане не само на сертификати за подписване на код, но и до 71 000 идентификационни данни на служителите, изходния код на Nvidia DLSS и може би дори някои имена на GeForce GPU модели от следващо поколение.
Разбира се, не отне много време изтеклите кодове на сертификати да се присъединят към арсенала за хакери, дебнещи из мрежата, които се възползваха от потенциала на това да се скрият зад истинските кодове на Nvidia, за да изпълнят своите злонамерени планове.
Сега кодовете се използват за подписване на сертификати за драйвъри на Windows заедно с Quasar RAT, както показва VirusTotal в момента, „46 доставчици на продукти за киберсигурност са маркирали този файл като злонамерен“.
Сайтът BleepingComputer - благодарение на ентусиазираните доклади на изследователите по сигурността Кевин Бомонт и Уил Дорман - отбелязва следните серийни номера като тези, за които трябва да внимавате:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
И двата кода са на практика подписи на Nvidia с изтекъл срок на валидност, но вашата операционна система ще ги остави да преминат по същия начин. Това е още едно нещо, което да следите, ако мислите да изтеглите файл, който смятате, че може да е бил подправен.
Снимка: Pikrepo
Виж още: Банковият троянец SharkBot дебне жертви в мрачните води на Play Store