Vorsicht: Malware nutzt gestohlene Code-Signatur-Zertifikate von Nvidia

Mit einem fiesen Trick versuchen noch unbekannte Akteure weiteren Profit mit dem Hackerangriff auf den Chipproduzenten Nvidia zu machen: Sie signieren einem Bericht zufolge Schadsoftware mit Code-Signatur-Zer­ti­fi­ka­ten, die sie bei Nvidia gestohlen haben. Das geht aus einer Meldung des Online-Magazins Bleeping Computer hervor. Die Cyberkriminellen verwenden demnach gestohlene Nvidia Code-Signatur-Zertifikate, um Malware zu signieren, damit sie vertrauenswürdig erscheint und bösartige Treiber in Windows geladen werden können. Durch die Signierung der Schadsoftware wird sie nicht mehr als solche erkannt, wenn sie auf einem PC installiert wird. Das macht es den Hackern einfach, Systeme zu infiltrieren und den Betroffenen schwer, eine Infektion rechtzeitig zu erkennen.


Ende Februar hatte Nvidia bestätigt, dass es einen Angriff auf ihr Netzwerk gab. Über das genaue Ausmaß des Angriffs wurde bisher noch nicht viel bekannt. Der Konzern hatte allerdings schon gemeldet, dass Anmeldeinformationen von Mitarbeitern gestohlen wurden und so ein Zugriff auf geschützte Daten möglich wurde. Dabei sollen laut dem neuesten Bericht Nvidia Code-Signatur-Zertifikate gewesen sein. Mit den Zertifikaten werden normalerweise Treiber signiert.

Die Erpressergruppe namens Lapsus$ hatte sich zu dem Angriff bekannt und als Reaktion darauf, dass Nvidia nicht auf die Lösegeldforderung eingehen wollte, gestohlene Daten veröffentlicht. In diesem Daten-Leak sollen auch zwei gestohlene Code-Signatur-Zertifikate enthalten sein, die von Nvidia-Entwicklern zum Signieren ihrer Treiber und ausführbaren Dateien verwendet werden.

Nvidia-Zertifikate zum Signieren von Malware verwendet

Nachdem Lapsus$ die Code-Signatur-Zertifikate von Nvidia veröffentlicht hatte, fanden Sicherheitsforscher schnell heraus, dass die Zertifikate zum Signieren von Malware und anderen Tools verwendet wurden, die von Bedrohungsakteuren eingesetzt werden. Bei VirusTotal sind nun mehrere Schadsoftware-Beispiele aufgetaucht, die die gestohlenen Zertifikate zum Signieren verschiedener Malware und Hacker-Tools wie Cobalt Strike Beacons, Mimikatz, Backdoors und Remote-Access-Trojaner verwendeten.

Die Sicherheitsforscher Kevin Beaumont und Will Dormann teilten bereits mit, dass die gestohlenen Zertifikate die folgenden Seriennummern verwenden:


Obwohl beide gestohlenen Nvidia-Zertifikate abgelaufen sind, lässt Windows das Laden eines mit den Zertifikaten signierten Treibers im Betriebssystem weiterhin zu. Daher können Bedrohungsakteure mit diesen gestohlenen Zertifikaten immer noch ihre Programme wie legitime Nvidia-Programme aussehen und so bösartigen Code von Windows laden lassen. Das macht es allerdings für Windows-Nutzer aktuell schwierig, nicht auf eine so signierte Malware hereinzufallen.

Zertifikatswiderrufsliste

Aufgrund des Missbrauchspotenzials besteht die Hoffnung, dass die gestohlenen Zertifikate von Microsoft in die offizielle Zertifikatswiderrufsliste aufgenommen werden, um das Laden bösartiger Treiber in Windows zu verhindern. Dies würde jedoch dazu führen, dass auch legitime Nvidia-Treiber blockiert werden. Nvidia muss da eine Lösung finden.

In der Zwischenzeit besteht laut Bleeping Computer die Option, mit Windows Defender Application Control einzuschränken und zu kontrollieren, welche Nvidia-Treiber geladen beziehungsweise welche Zertifikate zugelassen werden. Das ist jedoch keine leichte Aufgabe, insbesondere für Windows-Nutzer, die nicht aus dem IT-Bereich kommen.

Download Kaspersky Anti-Ransomware-Tool - Kostenloser Ransomware-Schutz Siehe auch: