Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Aparecen los primeros malware con los certificados robados a nvidia


El hackeo de LAPSUS$ a Nvidia sigue dando de que hablar, y es que si bien este fin de semana se filtraron los credenciales de más de 71.00 empleados, también se daba a conocer que el grupo tuvo acceso a dos certificados de firma de código, aunque ambas están caducadas (en 2014 y 2018 para ser exactos) siguen siendo válidos para Microsoft.


 

 Un certificado de firma de código permite a los desarrolladores firmar digitalmente ejecutables y controladores para que Windows y los usuarios finales puedan verificar el propietario del archivo y si un tercero lo ha manipulado.

Para aumentar la seguridad en Windows, Microsoft también requiere que los controladores en modo kernel estén firmados con código antes de que el sistema operativo los cargue.


Después de que Lapsus$ filtrara los certificados de firma de código de NVIDIA, los investigadores de seguridad descubrieron rápidamente que los certificados se estaban utilizando para firmar malware y otras herramientas utilizadas por los actores de amenazas.

Según las muestras cargadas en el servicio de escaneo de malware VirusTotal, los certificados robados se usaron para firmar varios programas maliciosos y herramientas de hacking:

  •  como balizas Cobalt Strike
  • Mimikatz
  • puertas traseras
  • RAT's (troyanos de acceso remoto)



Los certificados robados utilizan los siguientes números de serie:

43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518

Si bien ambos certificados de NVIDIA robados están caducados, Windows seguirá permitiendo que se cargue en el sistema operativo un controlador firmado con los certificados.

Por lo tanto, al usar estos certificados robados, los actores de amenazas obtienen la ventaja de hacer que sus programas parezcan programas legítimos de NVIDIA y permitir que Windows cargue controladores maliciosos.

Los certificados robados de Nvidia se están aprovechando para crear malware

 A pesar del estado de caducidad, el investigador Bill Demirkapi dijo que "Windows todavía permite que se utilicen para la firma de controladores", y ya tenemos las primeras pruebas de ello, y es que estos certificados se están aprovechando para firmar una nueva clase de malware que el PC detecta como "fiable".

 


Uno de estos malware lo dio a conocer el antivirus VirusTotal, es cual se trató de una variante del Quasar RAT (troyano de acceso remoto), firmado con los certificados robados de Nvidia. Un RAT funciona en segundo plano, concediendo acceso remoto a tu máquina a un grupo atacante con acceso de lectura y escritura, que puede hacer cualquier cosa, desde robar datos hasta pedir un rescate cifrándolos.

 



En este momento, no hay una manera fácil de evitar que el software firmado con esos certificados se cargue con el sistema operativo, aparte de configurar Windows Defender para ello. Ahora solo queda esperar que Microsoft revoque esos certificados en el futuro, pero esto podría llevar el tiempo suficiente como para que afecte a muchos usuarios por el camino.

Debido al potencial de abuso, se espera que los certificados robados se agreguen a la lista de revocación de certificados de Microsoft en el futuro para evitar que se carguen controladores maliciosos en Windows. Sin embargo, al hacerlo, los controladores legítimos de NVIDIA también se bloquearán, por lo que es probable que esto no suceda pronto.  


Los actores de amenazas están utilizando certificados de firma de código de NVIDIA robados para firmar malware para parecer confiables y permitir que se carguen controladores maliciosos en Windows.

  • La filtración incluye dos certificados de firma de código robados utilizados por los desarrolladores de NVIDIA para firmar sus controladores y ejecutables digitalmente.


 Fuentes:
https://elchapuzasinformatico.com/2022/03/los-certificados-robados-de-nvidia-se-estan-aprovechando-para-crear-malware/

https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.