英偉達洩露數據正被用來製作偽裝成驅動的病毒
由於自稱為Lapsus$ 的組織洩露了與英偉達黑客攻擊相關的數據,被盜的代碼簽名證書被用於遠程訪問未受保護的PC,其他情況下則被用來部署惡意軟件。
根據Techpowerup 的報導,這些證書被用於“開發一種新型惡意軟件”,BleepingComputer 將Cobalt Strike 信標、Mimikatz、後門和遠程訪問木馬(RAT) 列為通過這種方式部署的一些惡意軟件。
代碼簽名證書是開發人員在將可執行文件和驅動程序發布給公眾之前用來簽署它們的東西。對於Windows和其他系統用戶來說,這是一種更安全的方式來驗證原始文件的所有權。微軟要求對內核模式驅動程序進行代碼簽名,否則操作系統將拒絕打開文件。
如果某些流氓使用來自英偉達的正版代碼簽署惡意軟件,用戶的PC 可能無法在惡意軟件解包,對系統造成嚴重破壞之前攔截它。
現在,這些代碼與Quasar RAT 一起被用於簽署Windows 驅動程序的證書。VirusTotal 目前顯示“46 家安全供應商和1 個沙箱將此文件標記為惡意文件。”
由於安全研究人員Kevin Beaumont 和Will Dormann 的熱心報導,BleepingComputer 注意到以下序列號需要注意:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
這兩個代碼實際上都是過期的英偉達簽名,但您的操作系統仍會讓它們以同樣的方式通過。