Les pirates utilisent des certificats Nvidia volés pour cacher les logiciels malveillants
Selon des chercheurs en sécurité, les certificats de signature de code Nvidia extraits d'un piratage récent du fabricant de puces sont utilisés à des fins malveillantes.
Le groupe de piratage LAPSUS$ a récemment affirmé avoir volé 1 To de données à Nvidia. Désormais, des informations sensibles sont apparues en ligne sous la forme de deux certificats de signature de code utilisés par les développeurs Nvidia pour signer leurs pilotes.
Comme indiqué par BleepingComputer , les certificats de signature compromis ont expiré en 2014 et 2018, respectivement. Cependant, Windows permet toujours aux pilotes d'être autorisés avec ces certificats. En conséquence, les logiciels malveillants peuvent être masqués par eux afin d'apparaître dignes de confiance, ouvrant ainsi la voie à l'ouverture de pilotes nuisibles sur un PC Windows sans être détectés.
Certaines variantes de logiciels malveillants signés avec les certificats Nvidia susmentionnés ont été découvertes sur VirusTotal, un service d'analyse de logiciels malveillants. Les échantillons qui ont été téléchargés ont révélé qu'ils étaient utilisés pour signer des outils de piratage et des logiciels malveillants, notamment Cobalt Strike Beacon, Mimikatz, des portes dérobées et des chevaux de Troie d'accès à distance.
Une personne a pu utiliser l'un des certificats pour signer un cheval de Troie d'accès à distance Quasar . Dans un autre cas, un pilote Windows a été signé par un certificat, ce qui a conduit 26 fournisseurs de sécurité à signaler le fichier comme malveillant au moment de la rédaction de cet article.
Selon BleepingComputer, certains fichiers pourraient très probablement avoir été téléchargés sur VirusTotal par des chercheurs en sécurité. Il existe également des preuves qui semblent suggérer que d'autres fichiers qui ont été vérifiés par le service ont été téléchargés par des individus et des pirates qui souhaitent diffuser des logiciels malveillants ; un de ces fichiers a été signalé comme malveillant par 54 fournisseurs de sécurité .
Une fois qu'un acteur de la menace découvre la méthode pour intégrer ces certificats volés, il peut créer des programmes qui semblent être des applications Nvidia officielles. Une fois ouverts, les pilotes malveillants seront alors chargés sur un système Windows.
David Weston, directeur de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft, a commenté la situation sur Twitter. Il a déclaré qu'un administrateur pourra configurer les politiques de contrôle d'application Windows Defender (WDAC) afin de gérer quel pilote Nvidia spécifique peut être chargé sur le système. Cependant, comme le souligne BleepingComputer, être familiarisé avec la mise en œuvre de WDAC n'est pas un trait commun chez l'utilisateur Windows moyen.
Alors, qu'est-ce que tout cela signifie réellement pour les utilisateurs de Windows ? En un mot, ceux qui créent des logiciels malveillants peuvent cibler des individus avec des pilotes malveillants qui ne peuvent pas être facilement détectés. Ils diffusent généralement ces fichiers via Google via de faux sites Web de téléchargement de pilotes. Dans cet esprit, ne téléchargez aucun pilote à partir de sites Web suspects et non fiables. Au lieu de cela, téléchargez-les directement depuis le site officiel de Nvidia à l'avenir. Microsoft, quant à lui, travaille probablement à révoquer les certificats en question.
Ailleurs, LAPSUS$ devrait publier un dossier matériel de 250 Go obtenu grâce au piratage Nvidia. Il a initialement menacé de le rendre disponible vendredi dernier si Nvidia ne parvenait pas à rendre ses pilotes GPU complètement open-source "dès maintenant et pour toujours". Le groupe a déjà divulgué le code DLSS propriétaire de Team Green , alors qu'il prétend également avoir volé l'algorithme derrière le limiteur de crypto-mining de Nvidia .