Peretas menggunakan sertifikat Nvidia yang dicuri untuk menyembunyikan malware

Sertifikat penandatanganan kode Nvidia yang diekstrak dari peretasan pembuat chip baru-baru ini digunakan untuk tujuan malware, menurut peneliti keamanan.

Grup peretas LAPSUS$ baru-baru ini mengklaim telah mencuri 1TB data dari Nvidia. Sekarang, informasi sensitif telah muncul secara online dalam bentuk dua sertifikat penandatanganan kode yang digunakan oleh pengembang Nvidia untuk menandatangani driver mereka.

Seseorang dikelilingi oleh beberapa jenis komputer di laptop.

Sebagai dilaporkan oleh BleepingComputer, sertifikat penandatanganan yang dikompromikan berakhir pada tahun 2014 dan 2018, masing-masing. Namun, Windows masih memungkinkan pengandar untuk diotorisasi dengan sertifikat ini. Akibatnya, malware dapat disembunyikan oleh mereka agar terlihat dapat dipercaya, yang kemudian membuka jalan bagi driver berbahaya untuk dibuka di PC Windows tanpa terdeteksi.

Variasi tertentu dari malware yang ditandatangani dengan sertifikat Nvidia yang disebutkan di atas ditemukan di VirusTotal, layanan pemindaian malware. Sampel yang diunggah menemukan bahwa mereka digunakan untuk menandatangani alat peretasan dan malware, termasuk Cobalt Strike Beacon, Mimikatz, backdoors, dan trojan akses jarak jauh.

Satu orang dapat menggunakan salah satu sertifikat untuk menandatangani trojan akses jarak jauh Quasar. Dalam kasus lain, driver Windows ditandatangani oleh sertifikat, yang menghasilkan 26 vendor keamanan menandai file sebagai berbahaya terhitung sejak tulisan ini dibuat.

BleepingComputer mengatakan file tertentu kemungkinan besar telah diunggah ke VirusTotal oleh peneliti keamanan. Ada juga bukti yang tampaknya menunjukkan bahwa file lain yang diperiksa oleh layanan diunggah oleh individu dan peretas yang ingin menyebarkan malware; salah satu file tersebut adalah ditandai sebagai berbahaya oleh 54 vendor keamanan.

Setelah pelaku ancaman menemukan metode untuk mengintegrasikan sertifikat curian ini, mereka dapat membuat program yang tampak seperti aplikasi resmi Nvidia. Setelah dibuka, driver berbahaya kemudian akan dimuat ke sistem Windows.

David Weston, direktur perusahaan dan keamanan OS di Microsoft, mengomentari situasi di Twitter. Dia menyatakan bahwa admin akan dapat mengonfigurasi kebijakan Windows Defender Application Control (WDAC) untuk mengelola driver Nvidia spesifik mana yang dapat dimuat ke sistem. Namun, seperti yang ditunjukkan oleh BleepingComputer, terbiasa menerapkan WDAC bukanlah ciri umum di antara rata-rata pengguna Windows.

Jadi apa sebenarnya arti semua ini bagi pengguna Windows? Singkatnya, mereka yang membuat malware dapat menargetkan individu dengan driver jahat yang tidak dapat dideteksi dengan mudah. Mereka biasanya menyebarkan file tersebut melalui Google melalui situs download driver palsu. Dengan mengingat hal ini, jangan mengunduh driver apa pun dari situs web yang mencurigakan dan tidak dapat dipercaya. Sebagai gantinya, unduh langsung dari situs web resmi Nvidia. Sementara itu, Microsoft kemungkinan sedang berupaya mencabut sertifikat yang dimaksud.

Di tempat lain, LAPSUS$ diperkirakan akan merilis folder perangkat keras 250GB yang diperoleh dari peretasan Nvidia. Awalnya mengancam untuk membuatnya tersedia Jumat lalu jika Nvidia gagal membuat driver GPU-nya sepenuhnya open-source “mulai sekarang dan selamanya.” Grup tersebut telah membocorkan kode DLSS milik Team Green, sementara itu juga mengklaim telah mencuri algoritme di balik pembatas penambangan kripto Nvidia.






Leave a Comment