Een geldige digitale handtekening van chipfabrikant Nvidia is gebruikt voor het aanvallen van Tibetaanse mensenrechtenorganisaties. Het ging om een gerichte aanval met een RTF-document. Dit document maakt misbruik van een beveiligingslek in Office, dat Microsoft in april 2012 patchte. Als de exploit succesvol is, worden er verschillende bestanden op de pc geplaatst.
Het gaat onder andere om een zichzelf uitpakkend WinRAR-bestand, dat weer drie bestanden installeert: Nv.exe, NvSmartMax.dll en NvSmartMax.dll.url. Vervolgens wordt Nv.exe geladen. Dit is echter geen malware, maar een legitiem bestand met een geldige digitale handtekening van Nvidia, zo ontdekte anti-virusbedrijf Sophos.
Backdoor
De malwaremakers maken gebruik van een functie in Windows waardoor DLL bestanden in de map van het uitvoerbare bestand eerst worden geladen. De applicatie van Nvidia fungeert als springplank voor het laden van de twee DLL-bestanden, die wel malware zijn. De malware opent een backdoor op het systeem waardoor aanvallers volledige toegang tot de machine hebben.
De backdoor verstuurt na de installatie de computernaam, gebruikersnaam, besturingssysteemversie, systeemtijd en hardwaregegevens naar de Command & Control-server waarmee de besmette machines worden aangestuurd.
Deze posting is gelocked. Reageren is niet meer mogelijk.