Phát hiện malware “đội lốt” driver GPU nhờ dữ liệu mật của Nvidia

Dữ liệu bị đánh cắp của Nvidia bị kẻ gian khai thác nhằm ngụy trang malware thành driver GPU.

Do vừa rồi Nvidia có rò rỉ một loạt thông tin vì bị nhóm hacker Lapsus$ tấn công, thế nên một số kẻ gian đã tận dụng những chứng chỉ “code-signing” bị đánh cắp để biến malware thành driver GPU và tấn công vào máy tính của nạn nhân từ xa, sau đó cài phần mềm độc hại.

Theo trang TechPowerUp, các chứng chỉ bị đánh cắp được dùng để phát triển một loại malware mới, và trang BleepingComputer có liệt kê một số malware được phát tán theo kiểu này, ví dụ như Cobalt Strike, Mimikatz, Remote Access Trojans.

Chứng chỉ “code-signing” là thứ mà nhà phát triển dùng để “ký tên” (sign off) các tập tin thực thi (executable file) và driver trước khi tung nó ra công chúng. Microsoft yêu cầu các driver “kernel-mode” phải được ký tên đàng hoàng, nếu không thì hệ điều hành sẽ từ chối mở tập tin đó. Nếu có kẻ gian nào đó cũng ký tên malware bằng mã chính chủ của Nvidia thì PC của nạn nhân có thể không phát hiện được malware trước khi mở nó ra, từ đó tạo cơ hội cho phần mềm độc hại phá hoại máy tính.

Hai đoạn mã chính chủ của Nvidia bị rò rỉ thực chất đã hết hạn, nhưng hệ điều hành vẫn chấp nhận nó như bình thường. Vì thế nên các bạn hãy thật cẩn trọng khi tải file trên mạng về, và chỉ tải từ những nguồn chính chủ, uy tín nhé.

Tóm tắt ý chính:

• Một số kẻ gian đã tận dụng những chứng chỉ “code-signing” bị đánh cắp của Nvidia để tấn công từ xa
• Các chứng chỉ này được dùng để phát triển một loại malware mới nhằm qua mặt hệ điều hành
• Tuy những chứng chỉ này đã hết hạn nhưng hệ điều hành vẫn chấp nhận nó bình thường

Mời các bạn tham khảo thêm một số thông tin liên quan tại GVN 360 như:

• Sau khi gây chuyện với Nvidia, nhóm hacker Lapsus $ phát tán 190GB dữ liệu mật của Samsung
• Nhóm hacker tấn công Nvidia rao bán công cụ bỏ giới hạn đào coin với giá 1 triệu đô
• Nvidia thừa nhận bị hack nhưng không nghiêm trọng, vẫn kinh doanh bình thường

Nguồn: PC Gamer