Vorsicht: Malware nutzt gestohlene Code-Signatur-Zertifikate von Nvidia
Online-Magazins Bleeping Computer hervor. Die Cyberkriminellen verwenden demnach gestohlene Nvidia Code-Signatur-Zertifikate, um Malware zu signieren, damit sie vertrauenswürdig erscheint und bösartige Treiber in Windows geladen werden können. Durch die Signierung der Schadsoftware wird sie nicht mehr als solche erkannt, wenn sie auf einem PC installiert wird. Das macht es den Hackern einfach, Systeme zu infiltrieren und den Betroffenen schwer, eine Infektion rechtzeitig zu erkennen.
Ende Februar hatte Nvidia bestätigt, dass es einen Angriff auf ihr Netzwerk gab. Über das genaue Ausmaß des Angriffs wurde bisher noch nicht viel bekannt. Der Konzern hatte allerdings schon gemeldet, dass Anmeldeinformationen von Mitarbeitern gestohlen wurden und so ein Zugriff auf geschützte Daten möglich wurde. Dabei sollen laut dem neuesten Bericht Nvidia Code-Signatur-Zertifikate gewesen sein. Mit den Zertifikaten werden normalerweise Treiber signiert.
Die Erpressergruppe namens Lapsus$ hatte sich zu dem Angriff bekannt und als Reaktion darauf, dass Nvidia nicht auf die Lösegeldforderung eingehen wollte, gestohlene Daten veröffentlicht. In diesem Daten-Leak sollen auch zwei gestohlene Code-Signatur-Zertifikate enthalten sein, die von Nvidia-Entwicklern zum Signieren ihrer Treiber und ausführbaren Dateien verwendet werden.
Die Sicherheitsforscher Kevin Beaumont und Will Dormann teilten bereits mit, dass die gestohlenen Zertifikate die folgenden Seriennummern verwenden:
Obwohl beide gestohlenen Nvidia-Zertifikate abgelaufen sind, lässt Windows das Laden eines mit den Zertifikaten signierten Treibers im Betriebssystem weiterhin zu. Daher können Bedrohungsakteure mit diesen gestohlenen Zertifikaten immer noch ihre Programme wie legitime Nvidia-Programme aussehen und so bösartigen Code von Windows laden lassen. Das macht es allerdings für Windows-Nutzer aktuell schwierig, nicht auf eine so signierte Malware hereinzufallen.
In der Zwischenzeit besteht laut Bleeping Computer die Option, mit Windows Defender Application Control einzuschränken und zu kontrollieren, welche Nvidia-Treiber geladen beziehungsweise welche Zertifikate zugelassen werden. Das ist jedoch keine leichte Aufgabe, insbesondere für Windows-Nutzer, die nicht aus dem IT-Bereich kommen.
Download Kaspersky Anti-Ransomware-Tool - Kostenloser Ransomware-Schutz Siehe auch:
Das geht aus einer Meldung des Ende Februar hatte Nvidia bestätigt, dass es einen Angriff auf ihr Netzwerk gab. Über das genaue Ausmaß des Angriffs wurde bisher noch nicht viel bekannt. Der Konzern hatte allerdings schon gemeldet, dass Anmeldeinformationen von Mitarbeitern gestohlen wurden und so ein Zugriff auf geschützte Daten möglich wurde. Dabei sollen laut dem neuesten Bericht Nvidia Code-Signatur-Zertifikate gewesen sein. Mit den Zertifikaten werden normalerweise Treiber signiert.
Die Erpressergruppe namens Lapsus$ hatte sich zu dem Angriff bekannt und als Reaktion darauf, dass Nvidia nicht auf die Lösegeldforderung eingehen wollte, gestohlene Daten veröffentlicht. In diesem Daten-Leak sollen auch zwei gestohlene Code-Signatur-Zertifikate enthalten sein, die von Nvidia-Entwicklern zum Signieren ihrer Treiber und ausführbaren Dateien verwendet werden.
Nvidia-Zertifikate zum Signieren von Malware verwendet
Nachdem Lapsus$ die Code-Signatur-Zertifikate von Nvidia veröffentlicht hatte, fanden Sicherheitsforscher schnell heraus, dass die Zertifikate zum Signieren von Malware und anderen Tools verwendet wurden, die von Bedrohungsakteuren eingesetzt werden. Bei VirusTotal sind nun mehrere Schadsoftware-Beispiele aufgetaucht, die die gestohlenen Zertifikate zum Signieren verschiedener Malware und Hacker-Tools wie Cobalt Strike Beacons, Mimikatz, Backdoors und Remote-Access-Trojaner verwendeten.Die Sicherheitsforscher Kevin Beaumont und Will Dormann teilten bereits mit, dass die gestohlenen Zertifikate die folgenden Seriennummern verwenden:
Seriennummern der Zertifikate
- 43BB437D609866286DD839E1D00309F5
- 14781bc862e8dc503a559346f5dcc518
Obwohl beide gestohlenen Nvidia-Zertifikate abgelaufen sind, lässt Windows das Laden eines mit den Zertifikaten signierten Treibers im Betriebssystem weiterhin zu. Daher können Bedrohungsakteure mit diesen gestohlenen Zertifikaten immer noch ihre Programme wie legitime Nvidia-Programme aussehen und so bösartigen Code von Windows laden lassen. Das macht es allerdings für Windows-Nutzer aktuell schwierig, nicht auf eine so signierte Malware hereinzufallen.
Zertifikatswiderrufsliste
Aufgrund des Missbrauchspotenzials besteht die Hoffnung, dass die gestohlenen Zertifikate von Microsoft in die offizielle Zertifikatswiderrufsliste aufgenommen werden, um das Laden bösartiger Treiber in Windows zu verhindern. Dies würde jedoch dazu führen, dass auch legitime Nvidia-Treiber blockiert werden. Nvidia muss da eine Lösung finden.In der Zwischenzeit besteht laut Bleeping Computer die Option, mit Windows Defender Application Control einzuschränken und zu kontrollieren, welche Nvidia-Treiber geladen beziehungsweise welche Zertifikate zugelassen werden. Das ist jedoch keine leichte Aufgabe, insbesondere für Windows-Nutzer, die nicht aus dem IT-Bereich kommen.
Download Kaspersky Anti-Ransomware-Tool - Kostenloser Ransomware-Schutz Siehe auch:
Thema:
Nvidia Aktienkurs in Euro
Neue Nvidia-Bilder
Videos zum Thema Nvidia
- Geforce RTX 4070 Ti Super im Test: Für wen sich die neue Karte lohnt
- Half-Life 2 RTX: So sieht die Stadt Ravenholm im RTX-Remix aus
- LG 45GR95QE: Extragroßer OLED-Monitor mit 240 Hertz im Test
- DLSS 3.5 ist da: Neue Nvidia-Technik macht alle RTX-Karten besser
- Half-Life 2: Nvidia kündigt ein umfassendes RTX-Remaster an
Neue Nvidia-Downloads
Beliebt im Preisvergleich
- Grafikkarten:
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- iOS 17.4-Update bringt neue Ladegeschwindigkeit für iPhone 12-Familie
- Microsoft kündigt neue OneDrive-Funktionen für Microsoft 365 Basic an
- "Was ist neu": Microsoft Store-Update zeigt nun Changelog mit an
- New York erlaubt selbstfahrende Autos - solange sie nicht selbst fahren
- E-Mail-Betrugswarnung: Kunden dreier deutscher Banken betroffen
- Ukraine nutzt Mikrofon-Netzwerk, um Kamikaze-Drohnen aufzuspüren
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!