Certificati di firma del codice pizzicati in un attacco Nvidia utilizzato per malware

I certificati appartenenti a Nvidia che sono stati rubati nell'ambito dell'attacco informatico al produttore di chip alla fine di febbraio 2022 vengono attualmente utilizzati per firmare codice dannoso, nel tentativo di spingere il malware oltre le difese automatizzate.

I pacchetti dannosi firmati con i certificati Nvidia vengono utilizzati per prendere di mira i sistemi basati su Windows. Nvidia è stata presa di mira dalla banda di ransomware Lapsus$ a fine febbraio e i certificati in questione sono stati esfiltrati nell'ambito dell'attacco. Il volume di riepilogo dell'attacco Lapsus$ è stato di circa 1 TB di dati sottratti ai server del produttore di chip.

Certificati scaduti ancora accettati dal sistema operativo

Oltre ai certificati rubati, Lapsus$ è riuscita anche a rubare schemi, driver e dati hash di e-mail e password appartenenti a oltre 70mila dipendenti Nvidia.

I ricercatori di sicurezza si sono rivolti a Twitter pochi giorni dopo l'attacco iniziale, segnalando che gli stessi certificati venivano utilizzati per firmare file binari che contengono malware. I carichi utili che utilizzano i certificati rubati sono stati successivamente identificati come istanze di Mimikatz, Cobalt Strike e strumenti dannosi per backdoor e accesso remoto.

Anche se i certificati Nvidia rubati sono scaduti, i ricercatori hanno scoperto che erano ancora utilizzabili per la firma di software come driver che sarebbero stati distribuiti correttamente su macchine Windows.

Will Dormann, un analista di vulnerabilità presso CERT, e Kevin Beaumont hanno condiviso i numeri di serie dei certificati Nvidia utilizzati in modo improprio, che sono i seguenti:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft offre tecniche di mitigazione

Il direttore della sicurezza aziendale e del sistema operativo di Microsoft ha twittato un modo per limitare ciò che i driver Nvidia possono caricare sul sistema, ma per farlo è necessario modificare le impostazioni nei criteri di controllo delle applicazioni di Windows Defender, il che non è esattamente una cosa facile da capire regolarmente utenti a casa, ma dovrebbe comunque essere di aiuto alle aziende e alle reti più grandi che dispongono di personale dedicato alla sicurezza IT.

Come parte del suo attacco a Nvidia, la banda di ransomware Lapsus$ ha chiesto al produttore di chip di rendere tutti i suoi driver open-source, cosa che ovviamente non accadrà mai. Gli hacker hanno minacciato di rilasciare loro stessi la fonte, ma questa è ancora solo una minaccia a questo punto.