Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom
Vesti, 16.03.2023, 09:30 AM
.jpg)
Hakeri koriste ranije nedokumentovanu grešku u Microsoftovoj bezbednosnoj funkciji SmartScreen za širenje Magniber ransomwarea, upozorili su Googleovi istraživači. Motivi napadača su finansijske prirode.
Ranjivost nultog dana u SmartScreenu sajber kriminalci su koristili od decembra, rekli su istraživači iz Googleove Grupe za analizu pretnji (TAG). Googleov tim je 15. februara obavestio Microsoft o ovoj ranjivosti i njenoj eksploataciji od strane ove ransomware grupe. Microsoft je u utorak objavio zakrpu za grešku CVE-2023-24880.
SmartScreen, koji je deo Windowsa 10 i 11, ali i Microsoftovog veb pregledača Edge, je dizajniran da prepozna pokušaje fišinga i malvere. Portparol Microsofta je rekao da su korisnici koji su instalirali zakrpu sada zaštićeni.
Analitičari TAG-a kažu da su od januara 2023. videli preko 100.000 preuzimanja zlonamernih MSI fajlova koji su korišćeni u kampanji distribucije ransomwarea, pri čemu iza 80% tih preuzimanja stoje korisnici u Evropi. MSI fajlovi su slični .EXE fajlovima po tome što se oba tipa koriste za instaliranje i pokretanje Windows programa.
Istraživači kažu da je Magniber ransomware ranije bio usmeren na organizacije u Južnoj Koreji i Tajvanu. Kompanije za sajber bezbednost počele su da ga prate pre oko šest godina.
Istraživači kažu da su po drugi put za oko šest meseci operateri Magnibera koristili nulti dan da izbegnu SmartScreen i prevare korisnike računara da preuzmu prikriveni ransomware sa zaraženih veb sajtova.
U oktobru su stručnjaci iz HP-a otkrili da Magniber kampanje uključuju eksploataciju CVE-2022-44698, ranjivosti koja takođe utiče na SmartScreen. I drugi hakeri su počeli da iskorištavaju tu grešku pre nego što je Microsoft objavio zakrpu u decembru 2022.
Kada je Microsoft blokirao taj vektor napada, grupa Magniber je pronašla sličan način da zaobiđe SmartScreen. Istraživači TAG-a su otkrili da su zaraženi MSI fajlovi prouzrokovali da se SmartScreen ponaša na način na koji su se ponašao kada je grupa u prethodnim napadima koristila JScript fajlove. To je omogućilo napadačima da zaobiđu sigurnosno upozorenje koje se prikazuje kada fajl radi u suprotnosti sa Mark-of-the-Web (MotW), još jednom funkcijom pretraživača koja štiti od zlonamernih fajlova.
„Pošto osnovni uzrok zaobilaženja zaštite SmartScreena nije rešen, napadači su mogli da brzo otkriju drugačiju varijantu originalne greške“, rekli su Googleovi istraživači. Cilj bi, kako su rekli, trebalo da bude „ispravno i sveobuhvatno” rešavanje takvih problema.
„Ova bezbednosni bajpas je primer većeg trenda koji je Project Zero ranije istakao: proizvođači često objavljuju uske zakrpe, stvarajući priliku napadačima da ponavljaju i otkrivaju nove varijante“, rekli su istraživači.
Prvi put primećen krajem 2017. godine, Magniber ransomware je bio isključivo aktivan u Južnoj Koreji mnogo godina pre nego što se proširio na Tajvan.
Sajber kriminalci koji su umešani u te napade su ranije iskorišćavali nekoliko drugih Microsoftovih grešaka, uključujući CVE-2022-41091, koja je takođe bila MotW greška, kao i zloglasnu ranjivost PrintNightmare, CVE-2021-34527.
Naslovna fotografija: Nothing Ahead

Izdvojeno
Kopija popularne ekstenzije ''ChatGPT for Google'' krade Facebook naloge

Više od 9000 ljudi preuzelo je iz Chrome veb prodavnice trojanizovanu verziju legitimnog ChatGPT dodataka za Chrome, koja krade Facebook naloge. Ekst... Dalje
Zbog greške ChatGPT otkrio istoriju razgovora drugih ljudi korisnicima četbota

ChatGPT-ova funkcija istorije ćaskanja je trenutno nedostupna zbog baga koji je otkrio kratke opise razgovora drugih ljudi korisnicima AI četbota. ... Dalje
Hakovan Ferrari, kompanija odbija da plati napadačima za ukradene podatke kupaca

Italijanski proizvođač sportskih i trkačkih automobila Ferrari je hakovan, a napadači sada zahtevaju od kompanije da plati i tako spreči objavlji... Dalje
iPhone će biti zabranjen u Kremlju iz bezbednosnih razloga

Zvaničnici uključeni u pripreme za ruske predsedničke izbore 2024. moraju da prestanu da koriste iPhone. To je, kako se izveštava, novi stav koji ... Dalje
Kaspersky objavio besplatni alat za dešifrovanje za žrtve jedne verzije zloglasnog ransomwarea Conti

Kaspersky je u četvrtak objavio alat za dešifrovanje koji bi mogao da pomogne žrtvama čiji su podaci zaključani jednom verzijom Conti ransomwarea... Dalje
Pratite nas
Nagrade