Las consecuencias continúan desde el ataque de ransomware que apuntó a Nvidia, ya que se descubrió que algunos de los controladores de GPU más antiguos de la compañía ahora pueden ocultar malware. De acuerdo con TechPowerUp, los certificados de firma de código robados se utilizan para colocar malware en PC desprevenidos. Esto también fue confirmado por @BillDemirkapi en Twitter. Los certificados de firma de código expiraron en 2014 y 2018, pero eso no impide que Windows los reconozca como legítimos. Y esto podría ser un gran problema para aquellos que no están seguros de qué buscar.
BleepingEquipo señaló los tipos de malware que circulan. Estos incluyen Cobalt Strike Beacons, Mimikatz, puertas traseras y troyanos de acceso remoto. Esta es claramente una situación problemática para Nvidia, y no se sabe cuánto peor podría volverse la situación en las próximas semanas. Pero por ahora, es importante que los usuarios permanezcan atentos a cualquier cosa que parezca fuera de lo común. Particularmente cuando se trata de descargar controladores para sus tarjetas gráficas.
Esté atento al software malicioso
Los desarrolladores utilizan los certificados de firma de código para colocar una firma digital en controladores y ejecutables. Está ahí para verificar si algo es lo que dice que es. Si el certificado no es válido, Windows se lo hará saber. Esta es la razón por la cual el software malicioso que utiliza estos certificados es algo tan peligroso. Windows no puede saber si el archivo es peligroso y, antes de que te des cuenta, tu PC está en peligro. Además, si los usuarios no pueden identificar la diferencia entre un controlador real y uno falso, podría terminar infectando muchas PC desprevenidas. Sin embargo, existen medidas de precaución que los usuarios pueden tomar.
Gracias a los investigadores de seguridad. kevin beaumont y dormann, se han compartido los números de serie de los certificados robados. Asegúrese de buscar «43BB437D609866286DD839E1D00309F5» y «14781bc862e8dc503a559346f5dcc518». Si bien estas firmas han expirado, Windows aún las reconocerá como legítimas. Obviamente, esta es una gran falla de seguridad que Windows debería solucionar en el futuro. De hecho, es extraño que los certificados vencidos sean reconocibles en primer lugar.
Es una situación grave para Nvidia y sus usuarios, especialmente para aquellos que no conocen la situación actual. La mejor defensa en este momento es difundir esta información tanto como sea posible. No se sabe qué planea hacer Nvidia con el malware disfrazado de controladores de GPU, o si Microsoft tiene la intención de intervenir en algún momento. De cualquier manera, lo mejor que pueden hacer los usuarios ahora es permanecer cautelosos. Esté atento a cualquier cosa que parezca sospechosa y, como siempre, tenga cuidado con lo que descarga.
Como parte de la #NvidiaLeaks, se han comprometido dos certificados de firma de código. Aunque han caducado, Windows aún permite que se utilicen para la firma de controladores. Vea la charla que di en BH/DC para obtener más contexto sobre los certificados filtrados: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd
—Bill Demirkapi (@BillDemirkapi) 3 de marzo de 2022