Após vazamento, malwares tentam se passar por softwares oficiais da Nvidia

Certificados oficiais, usados pela Nvidia para assinar drivers de placas de vídeo e outras aplicações oficiais da empresa, já estão sendo usados por criminosos para dar aparência de legitimidade a malwares e ferramentas de intrusão. O uso é um dos principais e mais perigosos reflexos do vazamento dos dados da companhia, registrado na última semana e expondo informações internas, códigos-fonte e credenciais de funcionários.

• Nvidia confirma roubo de dados após ataque cibernético
• Clone do game Wordle usa PC dos usuários para minerar criptomoedas

Durante o final de semana, registros no site VirusTotal, que concentra ameaças conhecidas e serve como base para softwares de segurança, bem como analistas em segurança digital apontaram o uso dos certificados da Nvidia, inclusive, em soluções perigosas e bem conhecidas. É o caso, por exemplo, do agente de exploração Cobalt Strike e do Mimikatz, voltado para o roubo de credenciais do Windows, assim como outras aplicações de acesso remoto ao sistema operacional ou backdoors.

A ideia é que, ao assinar tais soluções como se fossem legítimas, o sistema operacional não impediria seu funcionamento — no Windows, aplicações que usem recursos avançados da plataforma precisam de tais certificados para serem instaladas. O problema é que, mesmo já tendo expirado, os recursos continuam tendo funcionamento permitido, sendo reconhecidos como se fossem softwares da própria Nvidia.

Pelo menos duas campanhas de malware estariam em andamento, enquanto a recomendação dos especialistas em segurança é que administradores de sistema limitem os certificados vazados nas ferramentas de segurança do Windows. Além de medidas comuns de higiene digital, como baixar softwares apenas de fontes oficiais e manter um controle do que é instalado ou não, tal política deve reduzir a eficácia de campanhas de phishing ou outras que utilizem os malwares.

Grupo que atacou Ministério da Saúde também atingiu Nvidia

O ataque aos servidores da fabricante de placas de vídeo foi assumido pelo grupo Lapsus, o mesmo que, em dezembro, atingiu sistemas do governo brasileiro, incluindo o Ministério da Saúde, e deixou o app Conecte SUS fora do ar por quase duas semanas. Mais recentemente, o bando também disse ter sido o responsável pelo golpe que deixou gigantes do e-commerce brasileiro, como Americanas, Shoptime e Submarino, fora do ar por quatro dias.

A notícia do vazamento de dados da Nvidia veio na última semana e ganhou contornos mais agressivos depois que o Lapsus acusou a empresa de ter contra-atacado, usando ransomware para tentar bloquear os arquivos obtidos pelos criminosos. De um volume de 1 TB de informações que os bandidos dizem ter em mãos, vazaram detalhes confidenciais e credenciais de funcionários da empresa.

Fonte: Bleeping Computer