Greška u Windowsovoj funkciji za zaštitu od fišinga i malvera se koristi za infekciju računara opasnim malverom

Vesti, 16.03.2023, 09:30 AM

Hakeri koriste ranije nedokumentovanu grešku u Microsoftovoj bezbednosnoj funkciji SmartScreen za širenje Magniber ransomwarea, upozorili su Googleovi istraživači. Motivi napadača su finansijske prirode.

Ranjivost nultog dana u SmartScreenu sajber kriminalci su koristili od decembra, rekli su istraživači iz Googleove Grupe za analizu pretnji (TAG). Googleov tim je 15. februara obavestio Microsoft o ovoj ranjivosti i njenoj eksploataciji od strane ove ransomware grupe. Microsoft je u utorak objavio zakrpu za grešku CVE-2023-24880.

SmartScreen, koji je deo Windowsa 10 i 11, ali i Microsoftovog veb pregledača Edge, je dizajniran da prepozna pokušaje fišinga i malvere. Portparol Microsofta je rekao da su korisnici koji su instalirali zakrpu sada zaštićeni.

Analitičari TAG-a kažu da su od januara 2023. videli preko 100.000 preuzimanja zlonamernih MSI fajlova koji su korišćeni u kampanji distribucije ransomwarea, pri čemu iza 80% tih preuzimanja stoje korisnici u Evropi. MSI fajlovi su slični .EXE fajlovima po tome što se oba tipa koriste za instaliranje i pokretanje Windows programa.

Istraživači kažu da je Magniber ransomware ranije bio usmeren na organizacije u Južnoj Koreji i Tajvanu. Kompanije za sajber bezbednost počele su da ga prate pre oko šest godina.

Istraživači kažu da su po drugi put za oko šest meseci operateri Magnibera koristili nulti dan da izbegnu SmartScreen i prevare korisnike računara da preuzmu prikriveni ransomware sa zaraženih veb sajtova.

U oktobru su stručnjaci iz HP-a otkrili da Magniber kampanje uključuju eksploataciju CVE-2022-44698, ranjivosti koja takođe utiče na SmartScreen. I drugi hakeri su počeli da iskorištavaju tu grešku pre nego što je Microsoft objavio zakrpu u decembru 2022.

Kada je Microsoft blokirao taj vektor napada, grupa Magniber je pronašla sličan način da zaobiđe SmartScreen. Istraživači TAG-a su otkrili da su zaraženi MSI fajlovi prouzrokovali da se SmartScreen ponaša na način na koji su se ponašao kada je grupa u prethodnim napadima koristila JScript fajlove. To je omogućilo napadačima da zaobiđu sigurnosno upozorenje koje se prikazuje kada fajl radi u suprotnosti sa Mark-of-the-Web (MotW), još jednom funkcijom pretraživača koja štiti od zlonamernih fajlova.

„Pošto osnovni uzrok zaobilaženja zaštite SmartScreena nije rešen, napadači su mogli da brzo otkriju drugačiju varijantu originalne greške“, rekli su Googleovi istraživači. Cilj bi, kako su rekli, trebalo da bude „ispravno i sveobuhvatno” rešavanje takvih problema.

„Ova bezbednosni bajpas je primer većeg trenda koji je Project Zero ranije istakao: proizvođači često objavljuju uske zakrpe, stvarajući priliku napadačima da ponavljaju i otkrivaju nove varijante“, rekli su istraživači.

Prvi put primećen krajem 2017. godine, Magniber ransomware je bio isključivo aktivan u Južnoj Koreji mnogo godina pre nego što se proširio na Tajvan.

Sajber kriminalci koji su umešani u te napade su ranije iskorišćavali nekoliko drugih Microsoftovih grešaka, uključujući CVE-2022-41091, koja je takođe bila MotW greška, kao i zloglasnu ranjivost PrintNightmare, CVE-2021-34527.

Naslovna fotografija: Nothing Ahead