Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Vesti, 16.03.2023, 09:30 AM

Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Hakeri koriste ranije nedokumentovanu grešku u Microsoftovoj bezbednosnoj funkciji SmartScreen za širenje Magniber ransomwarea, upozorili su Googleovi istraživači. Motivi napadača su finansijske prirode.

Ranjivost nultog dana u SmartScreenu sajber kriminalci su koristili od decembra, rekli su istraživači iz Googleove Grupe za analizu pretnji (TAG). Googleov tim je 15. februara obavestio Microsoft o ovoj ranjivosti i njenoj eksploataciji od strane ove ransomware grupe. Microsoft je u utorak objavio zakrpu za grešku CVE-2023-24880.

SmartScreen, koji je deo Windowsa 10 i 11, ali i Microsoftovog veb pregledača Edge, je dizajniran da prepozna pokušaje fišinga i malvere. Portparol Microsofta je rekao da su korisnici koji su instalirali zakrpu sada zaštićeni.

Analitičari TAG-a kažu da su od januara 2023. videli preko 100.000 preuzimanja zlonamernih MSI fajlova koji su korišćeni u kampanji distribucije ransomwarea, pri čemu iza 80% tih preuzimanja stoje korisnici u Evropi. MSI fajlovi su slični .EXE fajlovima po tome što se oba tipa koriste za instaliranje i pokretanje Windows programa.

Istraživači kažu da je Magniber ransomware ranije bio usmeren na organizacije u Južnoj Koreji i Tajvanu. Kompanije za sajber bezbednost počele su da ga prate pre oko šest godina.

Istraživači kažu da su po drugi put za oko šest meseci operateri Magnibera koristili nulti dan da izbegnu SmartScreen i prevare korisnike računara da preuzmu prikriveni ransomware sa zaraženih veb sajtova.

U oktobru su stručnjaci iz HP-a otkrili da Magniber kampanje uključuju eksploataciju CVE-2022-44698, ranjivosti koja takođe utiče na SmartScreen. I drugi hakeri su počeli da iskorištavaju tu grešku pre nego što je Microsoft objavio zakrpu u decembru 2022.

Kada je Microsoft blokirao taj vektor napada, grupa Magniber je pronašla sličan način da zaobiđe SmartScreen. Istraživači TAG-a su otkrili da su zaraženi MSI fajlovi prouzrokovali da se SmartScreen ponaša na način na koji su se ponašao kada je grupa u prethodnim napadima koristila JScript fajlove. To je omogućilo napadačima da zaobiđu sigurnosno upozorenje koje se prikazuje kada fajl radi u suprotnosti sa Mark-of-the-Web (MotW), još jednom funkcijom pretraživača koja štiti od zlonamernih fajlova.

„Pošto osnovni uzrok zaobilaženja zaštite SmartScreena nije rešen, napadači su mogli da brzo otkriju drugačiju varijantu originalne greške“, rekli su Googleovi istraživači. Cilj bi, kako su rekli, trebalo da bude „ispravno i sveobuhvatno” rešavanje takvih problema.

„Ova bezbednosni bajpas je primer većeg trenda koji je Project Zero ranije istakao: proizvođači često objavljuju uske zakrpe, stvarajući priliku napadačima da ponavljaju i otkrivaju nove varijante“, rekli su istraživači.

Prvi put primećen krajem 2017. godine, Magniber ransomware je bio isključivo aktivan u Južnoj Koreji mnogo godina pre nego što se proširio na Tajvan.

Sajber kriminalci koji su umešani u te napade su ranije iskorišćavali nekoliko drugih Microsoftovih grešaka, uključujući CVE-2022-41091, koja je takođe bila MotW greška, kao i zloglasnu ranjivost PrintNightmare, CVE-2021-34527.

Naslovna fotografija: Nothing Ahead


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje

Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći

Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći

Hteli to ili ne, onlajn nalozi su sada sastavni deo naših života. Broj naloga na mreži koje neko ima direktno je propcionalan šansi da postane žr... Dalje

Apple ažurira sistem upozorenja o špijunskom softveru

Apple ažurira sistem upozorenja o špijunskom softveru

Apple je revidirao svoju dokumentaciju u vezi sa sistemom upozoravanja za pretnje od komercijalnog špijunskog softvera, precizirajući da kompanija ... Dalje

Poznati YouTube kanali se ponovo koriste za širenje opasnih malvera

Poznati YouTube kanali se ponovo koriste za širenje opasnih malvera

Hakeri sve više koriste YouTube za distribuciju malvera za krađu informacija (infostealer) prisvajanjem legitimnih kanala, ali i korišćenjem sops... Dalje

Iako Apple godinama tvrdi drugačije, zaštite privatnosti na njegovim uređajima su upitne

Iako Apple godinama tvrdi drugačije, zaštite privatnosti na njegovim uređajima su upitne

Grupa istraživača sa katedre za računarske nauke Univerziteta Aalto u Finskoj objavila je rezultate studije prema kojima je „praktično je ne... Dalje