En raison de fuites de données liées à un piratage Nvidia par un groupe se faisant appeler Lapsus$, des certificats de signature de code volés sont utilisés pour accéder à distance à des machines sans méfiance et déployer des logiciels malveillants.
Selon Techpowerup, les certificats sont utilisés pour « développer une nouvelle race de logiciels malveillants », et BleepingComputer répertorie les balises Cobalt Strike, Mimikatz, les portes dérobées et les chevaux de Troie d’accès à distance (RAT) comme quelques-uns des logiciels malveillants déployés par ce moyen.
Si vous ne le savez pas, un certificat de signature de code est quelque chose que les développeurs utilisent pour signer les fichiers exécutables et les pilotes avant de les déployer au public. C’est un moyen plus sûr pour Windows et les utilisateurs potentiels de vérifier la propriété du fichier d’origine. Microsoft exige que les pilotes en mode noyau soient signés par code, sinon le système d’exploitation refusera d’ouvrir le fichier.
Si certains hooligans signent un logiciel malveillant avec un code authentique de Nvidia, votre PC peut ne pas être en mesure d’attraper le logiciel malveillant avant qu’il ne se déballe et cause des ravages sur votre système.
Le récent siège numérique de Nvidia a vu Lapsus $ demander à la société de publier un contournement du limiteur de hashrate, une demande qui n’a pas été satisfaite. Les retombées ont entraîné non seulement la fuite de certificats de signature de code, mais également 71 000 des informations d’identification des employés, le code source DLSS de Nvidia et peut-être même certains noms de GPU GeForce de nouvelle génération.
Dans le cadre des #NvidiaLeaks, deux certificats de signature de code ont été compromis. Bien qu’ils aient expiré, Windows autorise toujours leur utilisation à des fins de signature de pilote. Voir la conférence que j’ai donnée à BH/DC pour plus de contexte sur les certificats divulgués : https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd3 mars 2022
Bien sûr, il n’a pas fallu longtemps pour que les codes de certificat divulgués rejoignent l’arsenal des pirates informatiques qui se cachent sur le Web, qui ont sauté sur le potentiel de se cacher derrière les codes authentiques de Nvidia afin de mener à bien leurs plans malveillants.
Désormais, les codes sont utilisés pour signer des certificats pour les pilotes Windows, ainsi que les RAT Quasar, comme VirusTotal le montre actuellement, « 46 fournisseurs de sécurité et 1 bac à sable ont signalé ce fichier comme malveillant ».
BleepingComputer, grâce aux rapports pointus des chercheurs en sécurité Kévin Beaumont et Will Dormannote les numéros de série suivants comme ceux à rechercher :
- 43BB437D609866286DD839E1D00309F5
- 14781bc862e8dc503a559346f5dcc518
Les deux codes sont en fait des signatures Nvidia expirées, mais votre système d’exploitation les laissera toujours passer de la même manière. Juste quelque chose à surveiller si vous envisagez de télécharger un fichier que vous pensez avoir été falsifié.
Il existe des moyens de dire à Windows de ne pas autoriser ces codes signés, mais peut être difficile à mettre en œuvre si vous n’avez pas d’antécédents informatiques. Ils peuvent également être pénibles lorsque vous installez un pilote Nvidia légitimement signé.
Comme toujours, restez en sécurité là-bas.