Skip to main content

Nvidia, certificati di firma rubati usati per occultare malware

Malware
(Image credit: solarseven / Shutterstock)

Diversi malware potenzialmente pericolosi sono riusciti ad aggirare gli antivirus grazie all'uso di certificati di firma rubati a Nvidia.

Il gruppo di criminali informatici noto come Lapsus$ aveva annunciato poco tempo fa il furto di un terabyte di dati a danni del colosso tecnologico e, dopo il mancato accordo con l'azienda circa il pagamento di un riscatto, ha deciso di divulgare le informazioni trafugate.

I ricercatori hanno iniziato a esaminare l'enorme database di informazioni sensibili rubate e hanno scoperto due certificati di firma usati dagli sviluppatori di Nvidia per firmare driver e file eseguibili. Queste misure di sicurezza consentono a Windows di verificare l'autore di una data app o programma, per scongiurare il rischio di manomissioni.

Malware riconosciuto come software legittimo

Grazie a un riferimento incrociato fra i certificati rubati e il loro database, i ricercatori hanno scoperto rapidamente che questi vengono utilizzati per firmare malware e altri tool pericolosi.

Come segnalato dal servizio di scansione antimalware VirusTotal, i certificati sono stati utilizzati per firmare i beacon Cobalt Strike, Mimikatz, nonché diversi backdoor, trojan per l'accesso remoto e altri tipi di malware.

Secondo i ricercatori di sicurezza Kevin Beaumont e Will Dormann, i certificati rubati sono riconoscibili tramite i seguenti numeri di serie:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Entrambi i certificati, però, sarebbero già scaduti, tuttavia Windows può comunque scaricare i driver con la loro firma.

Sebbene sia possibile configurare le policy di controllo della applicazioni di Windows Defender per eliminare i driver Nvidia compromessi, BleepingComputer sostiene che non si tratta di un'operazione semplice, soprattutto per gli utenti non professionisti che dovranno attendere l'aggiunta dei certificati alla lista di revoca di Microsoft.

Lapsus$ si sta facendo strada velocemente. Alla fine dell'anno scorso, il gruppo ha preso di mira Impresa, il conglomerato multimediale più grande del Portogallo, oscurando vari siti web, canali TV, l'infrastruttura AWS e gli account Twitter. Inoltre, ha colpito i siti del ministero della salute brasiliano, sospendendo le operazioni di vaccinazione contro il Covid-19 in tutto il Paese. Lapsus$ ha dichiarato di aver rubato 50 TB di dati, prima di rimuoverli dai server del ministero.

Nell'attacco a Nvidia, il gruppo sostiene di aver rubato informazioni di accesso e altri dati sensibili di decine di migliaia di dipendenti Nvidia. Inoltre afferma di aver usato i dati per creare un tool che elimina il limitatore di hash rate nelle GPU RTX 3000, utilizzabile per il mining di Ethereum con solo il 50% della capacità.

Infine, Lapsus$ ha rilasciato 190 GB di dati sensibili rubati a Samsung che, se si dimostreranno autentici, potrebbero determinare la divulgazione di dati più dannosa dell'anno.

Fonte: BleepingComputer

Marco Doria
Marco Doria

Senior Editor and Professional Translator. Boardgaming enthusiast, Tech-lover.