Los certificados robados de Nvidia se están aprovechando para crear malware
El hackeo de LAPSUS$ a Nvidia sigue dando de que hablar, y es que si bien este fin de semana se filtraron las acreditaciones de más de 71.00 empleados, también se daba a conocer que el grupo tuvo acceso a dos certificaciones de firma de código, aunque ambas están caducadas (en 2014 y 2018 para ser exactos).
A pesar del estado de caducidad, el investigador Bill Demirkapi dijo que "Windows todavía permite que se utilicen para la firma de controladores", y ya tenemos las primeras pruebas de ello, y es que estos certificados se están aprovechando para firmar una nueva clase de malware que el PC detecta como "fiable".
Uno de estos malware lo dio a conocer el antivirus VirusTotal, es cual se trató de una variante del Quasar RAT (troyano de acceso remoto), firmado con los certificados robados de Nvidia. Un RAT funciona en segundo plano, concediendo acceso remoto a tu máquina a un grupo atacante con acceso de lectura y escritura, que puede hacer cualquier cosa, desde robar datos hasta pedir un rescate cifrándolos.
En este momento, no hay una manera fácil de evitar que el software firmado con esos certificados se cargue con el sistema operativo, aparte de configurar Windows Defender para ello. Ahora solo queda esperar que Microsoft revoque esos certificados en el futuro, pero esto podría llevar el tiempo suficiente como para que afecte a muchos usuarios por el camino.
That escalated quickly #Lapsus
#Nvidia #LeakedCertificateMimikatzhttps://t.co/TrY6vL2mEE
KDUhttps://t.co/RDf6bnuArk pic.twitter.com/Jl4tpS5KEr
— Florian Roth ⚡️ (@cyb3rops) March 3, 2022
vía: Videocardz