Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Vesti, 16.03.2023, 09:30 AM

Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Hakeri koriste ranije nedokumentovanu grešku u Microsoftovoj bezbednosnoj funkciji SmartScreen za širenje Magniber ransomwarea, upozorili su Googleovi istraživači. Motivi napadača su finansijske prirode.

Ranjivost nultog dana u SmartScreenu sajber kriminalci su koristili od decembra, rekli su istraživači iz Googleove Grupe za analizu pretnji (TAG). Googleov tim je 15. februara obavestio Microsoft o ovoj ranjivosti i njenoj eksploataciji od strane ove ransomware grupe. Microsoft je u utorak objavio zakrpu za grešku CVE-2023-24880.

SmartScreen, koji je deo Windowsa 10 i 11, ali i Microsoftovog veb pregledača Edge, je dizajniran da prepozna pokušaje fišinga i malvere. Portparol Microsofta je rekao da su korisnici koji su instalirali zakrpu sada zaštićeni.

Analitičari TAG-a kažu da su od januara 2023. videli preko 100.000 preuzimanja zlonamernih MSI fajlova koji su korišćeni u kampanji distribucije ransomwarea, pri čemu iza 80% tih preuzimanja stoje korisnici u Evropi. MSI fajlovi su slični .EXE fajlovima po tome što se oba tipa koriste za instaliranje i pokretanje Windows programa.

Istraživači kažu da je Magniber ransomware ranije bio usmeren na organizacije u Južnoj Koreji i Tajvanu. Kompanije za sajber bezbednost počele su da ga prate pre oko šest godina.

Istraživači kažu da su po drugi put za oko šest meseci operateri Magnibera koristili nulti dan da izbegnu SmartScreen i prevare korisnike računara da preuzmu prikriveni ransomware sa zaraženih veb sajtova.

U oktobru su stručnjaci iz HP-a otkrili da Magniber kampanje uključuju eksploataciju CVE-2022-44698, ranjivosti koja takođe utiče na SmartScreen. I drugi hakeri su počeli da iskorištavaju tu grešku pre nego što je Microsoft objavio zakrpu u decembru 2022.

Kada je Microsoft blokirao taj vektor napada, grupa Magniber je pronašla sličan način da zaobiđe SmartScreen. Istraživači TAG-a su otkrili da su zaraženi MSI fajlovi prouzrokovali da se SmartScreen ponaša na način na koji su se ponašao kada je grupa u prethodnim napadima koristila JScript fajlove. To je omogućilo napadačima da zaobiđu sigurnosno upozorenje koje se prikazuje kada fajl radi u suprotnosti sa Mark-of-the-Web (MotW), još jednom funkcijom pretraživača koja štiti od zlonamernih fajlova.

„Pošto osnovni uzrok zaobilaženja zaštite SmartScreena nije rešen, napadači su mogli da brzo otkriju drugačiju varijantu originalne greške“, rekli su Googleovi istraživači. Cilj bi, kako su rekli, trebalo da bude „ispravno i sveobuhvatno” rešavanje takvih problema.

„Ova bezbednosni bajpas je primer većeg trenda koji je Project Zero ranije istakao: proizvođači često objavljuju uske zakrpe, stvarajući priliku napadačima da ponavljaju i otkrivaju nove varijante“, rekli su istraživači.

Prvi put primećen krajem 2017. godine, Magniber ransomware je bio isključivo aktivan u Južnoj Koreji mnogo godina pre nego što se proširio na Tajvan.

Sajber kriminalci koji su umešani u te napade su ranije iskorišćavali nekoliko drugih Microsoftovih grešaka, uključujući CVE-2022-41091, koja je takođe bila MotW greška, kao i zloglasnu ranjivost PrintNightmare, CVE-2021-34527.

Naslovna fotografija: Nothing Ahead


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje