Gestolen Nvidia data wordt gebruikt om malware te vermommen

Onlangs werd Nvidia slachtoffer van een grootschalige cyberaanval. Daarbij werd ongeveer een terabyte aan data gestolen, waaronder de broncode van DLSS. Maar nu blijkt dat er ook data is gestolen die gebruikt kan worden om malware onschuldig te laten lijken.

Bij de cyberaanval die onlangs is uitgevoerd door het hackerscollectief Lapsus$ zijn zogenaamde code-signing certificates van Nvidia gestolen. Deze certificaten worden door ontwikkelaars gebruikt om hun code als het ware te tekenen. Zo weet een besturingssysteem dat de code afkomstig is van een betrouwbare bron.

Maar nu is een aantal code-signing certificates in handen van onbetrouwbare bronnen, zo melden Techpowerup en BleepingComputer. De certificaten worden nu gebruikt om verschillende soorten malware te vermommen als onschuldige drivers van Nvidia.

De gebruikte certificaten worden allebei niet meer geldig. Toch staat Windows nog steeds toe dat drivers met deze certificaten gewoon worden geïnstalleerd. Het gevolg is dat er nu malware gemaakt kan worden die niet gecheckt wordt door Windows voor het te laat is.

De serienummers van de gelekte certificaten zijn bekend. Techneuten kunnen daarmee voorkomen dat nieuwe programma’s met die certificaten geladen worden. Helaas is dat geen makkelijk proces. Voor wie weet hoe het werkt zijn de serienummers als volgt:

Microsoft kan besluiten dat de certificaten niet meer als geldig gezien worden, maar dan zouden legitieme Nvidia drivers ook geblokkeerd worden. Ook die oplossing kan dus voorlopig nog problemen opleveren. Het is dan ook de vraag of Microsoft dit gaat doen en op wat voor termijn.