英偉達(dá)泄露數(shù)據(jù)正被用來制作偽裝成驅(qū)動(dòng)的病毒

由于自稱為 Lapsus$ 的組織泄露了與英偉達(dá)黑客攻擊相關(guān)的數(shù)據(jù)，被盜的代碼簽名證書被用于遠(yuǎn)程訪問未受保護(hù)的 PC，其他情況下則被用來部署惡意軟件。

根據(jù) Techpowerup 的報(bào)道，這些證書被用于“開發(fā)一種新型惡意軟件”，BleepingComputer 將 Cobalt Strike 信標(biāo)、Mimikatz、后門和遠(yuǎn)程訪問木馬 (RAT) 列為通過這種方式部署的一些惡意軟件。

代碼簽名證書是開發(fā)人員在將可執(zhí)行文件和驅(qū)動(dòng)程序發(fā)布給公眾之前用來簽署它們的東西。對(duì)于 Windows 和其他系統(tǒng)用戶來說，這是一種更安全的方式來驗(yàn)證原始文件的所有權(quán)。微軟要求對(duì)內(nèi)核模式驅(qū)動(dòng)程序進(jìn)行代碼簽名，否則操作系統(tǒng)將拒絕打開文件。

如果某些流氓使用來自英偉達(dá)的正版代碼簽署惡意軟件，用戶的 PC 可能無法在惡意軟件解包，對(duì)系統(tǒng)造成嚴(yán)重破壞之前攔截它。

現(xiàn)在，這些代碼與 Quasar RAT 一起被用于簽署 Windows 驅(qū)動(dòng)程序的證書。VirusTotal 目前顯示“46 家安全供應(yīng)商和 1 個(gè)沙箱將此文件標(biāo)記為惡意文件?！?

由于安全研究人員 Kevin Beaumont 和 Will Dormann 的熱心報(bào)道，BleepingComputer 注意到以下序列號(hào)需要注意：

· 43BB437D609866286DD839E1D00309F5

· 14781bc862e8dc503a559346f5dcc518

這兩個(gè)代碼實(shí)際上都是過期的英偉達(dá)簽名，但您的操作系統(tǒng)仍會(huì)讓它們以同樣的方式通過。