Cybercriminelen misbruiken gestolen drivercertificaten van NVIDIA

Kwaadwillenden hebben een tweetal gestolen drivercertificaten van NVIDIA misbruikt voor het verspreiden van malware. Het gaat om verlopen certificaat, die in Windows nog steeds gebruikt kunnen worden voor de installatie van drivers.

Hiervoor waarschuwen beveiligingsonderzoekers Florian Roth, Kevin Beaumont en Will Dormann. NVIDIA is onlangs getroffen door een cyberaanval waarbij aanvallers naar verluid een terabyte aan data hebben gestolen. De aanvallers eiste NVIDIA een beperking voor cryptomining van zijn GPU's verwijderde. Het bedrijf weigerde dit, waarop de aanvallers de gestolen data online hebben gepubliceerd. Onder meer de certificaten die nu zijn misbruikt zijn via deze weg uitgelekt.

Oorsprong van bestand vaststellen

De certificaten zijn door NVIDIA gebruikt voor het ondertekenen van uitvoerbare bestanden en drivers op het Windows-platform. Het gaat daarbij om een maatregel die voorkomt dat valse drivers of malafide software kunnen worden uitgevoerd. Met behulp van de certificaten wordt de oorsprong van het bestand vastgesteld. De onderzoekers waarschuwen echter dat kwaadwillenden de certificaten misbruiken voor het ondertekenen van malware en aanvalstools. Deze malafide software lijkt hierop op legitieme software van NVIDIA. De certificaten staan vooralsnog niet op de lijst van Windows met ingetrokken certificaten.

That escalated quickly #Lapsus
#Nvidia #LeakedCertificate

Mimikatzhttps://t.co/TrY6vL2mEE

KDUhttps://t.co/RDf6bnuArk pic.twitter.com/Jl4tpS5KEr

— Florian Roth ?? (@cyb3rops) March 3, 2022

Bleeping Computer heeft een uitgebreide analyse gepubliceerd.