由於自稱為 Lapsus$ 的組織泄露了與英偉達黑客攻擊相關的數據,被盜的代碼簽名證書被用於遠程訪問未受保護的 PC,其他情況下則被用來部署惡意軟件。
根據 Techpowerup 的報道,這些證書被用於“開發一種新型惡意軟件”,BleepingComputer 將 Cobalt Strike 信標、Mimikatz、後門和遠程訪問木馬 (RAT) 列為通過這種方式部署的一些惡意軟件。
代碼簽名證書是開發人員在將可執行文件和驅動程序發布給公眾之前用來簽署它們的東西。對於 Windows 和其他系統用戶來說,這是一種更安全的方式來驗證原始文件的所有權。微軟要求對內核模式驅動程序進行代碼簽名,否則操作系統將拒絕打開文件。
如果某些流氓使用來自英偉達的正版代碼簽署惡意軟件,用戶的 PC 可能無法在惡意軟件解包,對系統造成嚴重破壞之前攔截它。
現在,這些代碼與 Quasar RAT 一起被用於簽署 Windows 驅動程序的證書。VirusTotal 目前顯示“46 家安全供應商和 1 個沙箱將此文件標記為惡意文件。”
由於安全研究人員 Kevin Beaumont 和 Will Dormann 的熱心報道,BleepingComputer 注意到以下序列號需要注意:
· 43BB437D609866286DD839E1D00309F5
· 14781bc862e8dc503a559346f5dcc518
這兩個代碼實際上都是過期的英偉達簽名,但您的操作系統仍會讓它們以同樣的方式通過。