Официально подписанные кодами Nvidia, RAT и Mimikatz широко распространены. Вот подписи, на которые стоит обратить внимание.
Из-за утечки данных, связанных со взломом Nvidia группой, называющей себя Lapsus$, украденные сертификаты для подписи кода используются для получения удаленного доступа к ничего не подозревающим машинам и иного развертывания вредоносного программного обеспечения.
По данным Techpowerup, сертификаты используются для «разработки вредоносного ПО нового поколения», а BleepingComputer перечисляет маяки Cobalt Strike, Mimikatz, бэкдоры и трояны удаленного доступа (RAT) как лишь некоторые из вредоносных программ, развертываемых таким образом.
Если вы не знаете, сертификат для подписи кода — это то, что разработчики используют для подписи исполняемых файлов и драйверов перед их публикацией. Это более безопасный способ для Windows и потенциальных пользователей подтвердить право собственности на исходный файл. Microsoft требует, чтобы драйверы режима ядра были подписаны кодом, иначе ОС откажется открывать файл.
Если какой-то хулиган подпишет вредоносное ПО с помощью подлинного кода от Nvidia, ваш компьютер может не успеть поймать вредоносное ПО до его распаковки и нанести ущерб вашей системе.
Недавняя цифровая осада Nvidia привела к тому, что Lapsus$ потребовала от компании выпустить обход ограничения хешрейта, но это требование не было удовлетворено. Последствия привели к утечке не только сертификатов для подписи кода, но и 71 000 учетных данных сотрудников, исходного кода Nvidia DLSS и, возможно, даже некоторых имен графических процессоров GeForce следующего поколения.
Конечно, утечка кодов сертификатов не заставила себя долго ждать, чтобы присоединиться к арсеналу хакеров, скрывающихся в сети, которые ухватились за возможность спрятаться за подлинными кодами Nvidia, чтобы осуществить свои злонамеренные планы.
Теперь коды используются для подписи сертификатов для драйверов Windows вместе с Quasar RAT, как показывает VirusTotal в настоящее время: «46 поставщиков средств безопасности и 1 песочница пометили этот файл как вредоносный».
BleepingComputer, благодаря тщательному отчету исследователей безопасности Кевина Бомонта и Уилла Дорманна, отмечает следующие серийные номера как те, на которые следует обратить внимание:
- 43BB437D609866286DD839E1D00309F5
- 14781bc862e8dc503a559346f5dcc518
Оба кода фактически являются сигнатурами Nvidia с истекшим сроком действия, но ваша ОС все равно пропустит их. Просто кое-что, на что нужно обратить внимание, если вы думаете о загрузке файла, который, по вашему мнению, мог быть подделан.
Есть способы запретить Windows пропускать эти подписанные коды, но это может оказаться неудобным, если у вас нет опыта работы в ИТ. Они также могут быть проблемой, когда вы действительно устанавливаете законно подписанный драйвер Nvidia.
Как всегда, берегите себя.
Комментарии: