Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Vesti, 16.03.2023, 09:30 AM

Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Hakeri koriste ranije nedokumentovanu grešku u Microsoftovoj bezbednosnoj funkciji SmartScreen za širenje Magniber ransomwarea, upozorili su Googleovi istraživači. Motivi napadača su finansijske prirode.

Ranjivost nultog dana u SmartScreenu sajber kriminalci su koristili od decembra, rekli su istraživači iz Googleove Grupe za analizu pretnji (TAG). Googleov tim je 15. februara obavestio Microsoft o ovoj ranjivosti i njenoj eksploataciji od strane ove ransomware grupe. Microsoft je u utorak objavio zakrpu za grešku CVE-2023-24880.

SmartScreen, koji je deo Windowsa 10 i 11, ali i Microsoftovog veb pregledača Edge, je dizajniran da prepozna pokušaje fišinga i malvere. Portparol Microsofta je rekao da su korisnici koji su instalirali zakrpu sada zaštićeni.

Analitičari TAG-a kažu da su od januara 2023. videli preko 100.000 preuzimanja zlonamernih MSI fajlova koji su korišćeni u kampanji distribucije ransomwarea, pri čemu iza 80% tih preuzimanja stoje korisnici u Evropi. MSI fajlovi su slični .EXE fajlovima po tome što se oba tipa koriste za instaliranje i pokretanje Windows programa.

Istraživači kažu da je Magniber ransomware ranije bio usmeren na organizacije u Južnoj Koreji i Tajvanu. Kompanije za sajber bezbednost počele su da ga prate pre oko šest godina.

Istraživači kažu da su po drugi put za oko šest meseci operateri Magnibera koristili nulti dan da izbegnu SmartScreen i prevare korisnike računara da preuzmu prikriveni ransomware sa zaraženih veb sajtova.

U oktobru su stručnjaci iz HP-a otkrili da Magniber kampanje uključuju eksploataciju CVE-2022-44698, ranjivosti koja takođe utiče na SmartScreen. I drugi hakeri su počeli da iskorištavaju tu grešku pre nego što je Microsoft objavio zakrpu u decembru 2022.

Kada je Microsoft blokirao taj vektor napada, grupa Magniber je pronašla sličan način da zaobiđe SmartScreen. Istraživači TAG-a su otkrili da su zaraženi MSI fajlovi prouzrokovali da se SmartScreen ponaša na način na koji su se ponašao kada je grupa u prethodnim napadima koristila JScript fajlove. To je omogućilo napadačima da zaobiđu sigurnosno upozorenje koje se prikazuje kada fajl radi u suprotnosti sa Mark-of-the-Web (MotW), još jednom funkcijom pretraživača koja štiti od zlonamernih fajlova.

„Pošto osnovni uzrok zaobilaženja zaštite SmartScreena nije rešen, napadači su mogli da brzo otkriju drugačiju varijantu originalne greške“, rekli su Googleovi istraživači. Cilj bi, kako su rekli, trebalo da bude „ispravno i sveobuhvatno” rešavanje takvih problema.

„Ova bezbednosni bajpas je primer većeg trenda koji je Project Zero ranije istakao: proizvođači često objavljuju uske zakrpe, stvarajući priliku napadačima da ponavljaju i otkrivaju nove varijante“, rekli su istraživači.

Prvi put primećen krajem 2017. godine, Magniber ransomware je bio isključivo aktivan u Južnoj Koreji mnogo godina pre nego što se proširio na Tajvan.

Sajber kriminalci koji su umešani u te napade su ranije iskorišćavali nekoliko drugih Microsoftovih grešaka, uključujući CVE-2022-41091, koja je takođe bila MotW greška, kao i zloglasnu ranjivost PrintNightmare, CVE-2021-34527.

Naslovna fotografija: Nothing Ahead


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje