Η Microsoft έχει επιδιορθώσει ένα κενό ασφαλείας που εκμεταλλεύτηκαν εγκληματίες για να παρακάμψουν τη λειτουργία ασφαλείας SmartScreen των Windows και να εγκαταστήσουν το ransomware Magniber και το κακόβουλο λογισμικό Qbot.
Δείτε επίσης: Microsoft drivers: Χρησιμοποιούνται για επιθέσεις ransomware
Οι επιτιθέμενοι έγραψαν κακόβουλα αυτόνομα αρχεία JavaScript για να εκμεταλλευτούν το CVE-2022-44698 zero-day, το οποίο παρακάμπτει τις προειδοποιήσεις ασφαλείας Mark-of-the -Web. Αυτές οι προειδοποιήσεις εμφανίζονται από τα Windows και ενημερώνουν τους χρήστες ότι τα αρχεία που προέρχονται από το Διαδίκτυο πρέπει να προσεγγίζονται με προσοχή.
Σύμφωνα με τη Microsoft, αυτό το ελάττωμα ασφαλείας μπορεί να αξιοποιηθεί μόνο μέσω αυτών των τριών φορέων επίθεσης:
- Εάν ένας επιτιθέμενος φιλοξενεί έναν κακόβουλο ιστότοπο, θα μπορούσε εύκολα να εκμεταλλευτεί την ευπάθεια.
- Εάν ένας εισβολέας στείλει σε έναν στοχευμένο χρήστη ένα ειδικά διαμορφωμένο αρχείο .url, μέσω άμεσου μηνύματος ή email.
- Ιστοσελίδες που έχουν παραβιαστεί ή ιστοσελίδες που επιτρέπουν περιεχόμενο που δημιουργείται από χρήστες μπορεί να περιέχουν κακόβουλο κώδικα ειδικά σχεδιασμένο για την εκμετάλλευση ευπαθειών ασφαλείας.
Σε κάθε σενάριο, οι εγκληματίες θα πρέπει να εξαπατήσουν τα θύματά τους ώστε να κατεβάσουν επιβλαβή αρχεία ή να επισκεφθούν κακόβουλους ιστότοπους με το exploit CVE-2022-44698.
Δείτε ακόμα: Play ransomware: Πήρε την ευθύνη για την επίθεση στην Αμβέρσα
Η Microsoft δούλευε πάνω στη διόρθωση αυτής της ενεργά εκμεταλλευόμενης ευπάθειας zero-day από τα τέλη Οκτωβρίου και κυκλοφόρησε τις ενημερώσεις ασφαλείας για την αντιμετώπισή της κατά τη διάρκεια του Patch Tuesday του Δεκεμβρίου 2022.
Η ομάδα πληροφοριών απειλών της HP ανακάλυψε τον Οκτώβριο ότι οι επιθέσεις phishing διακινούσαν το ransomware Magniber. Αυτό γινόταν με τη χρήση αυτόνομων αρχείων JS JavaScript τα οποία ήταν ψηφιακά υπογεγραμμένα με κακόβουλο τρόπο, το οποίο ανακαλύφθηκε από τον Will Dormann που είναι ανώτερος αναλυτής ευπαθειών στην ANALYGENCE.
Εάν συμβεί αυτό, το SmartCheck δεν θα λειτουργεί σωστά και θα επιτρέπει την εκτέλεση επιβλαβών αρχείων χωρίς προειδοποιήσεις ασφαλείας. Αυτό θα επιτρέψει την εγκατάσταση του ransomware Magniber, παρόλο που έχει επισημανθεί από το MoTW.
Η συμμορία Magniber έχει αποκτήσει τη φήμη ότι χρησιμοποιεί κενά ασφαλείας για να εισβάλλει σε συστήματα και στη συνέχεια να εξαπολύει το ransomware. Το κακόβουλο λογισμικό, είναι γνωστό ως single-client ransomware που απαιτεί 2.500 δολάρια από τα θύματά του. Προηγουμένως, το Magniber διανεμόταν κυρίως μέσω αρχείων MSI και EXE. Ωστόσο, τον Σεπτέμβριο του 2022 η HP Wolf Security άρχισε να βλέπει εκστρατείες που διανέμουν το ransomware με αρχεία JavaScript.
Δείτε επίσης: Silence hackers: Επιθέσεις με τα TrueBot malware και Clop ransomware
Είναι σημαντικό τόσο για τους ιδιοκτήτες επιχειρήσεων όσο και για τους μεμονωμένους χρήστες να λαμβάνουν προληπτικά μέτρα για την προστασία τους από αυτή την απειλή, διασφαλίζοντας ότι όλα τα συστήματα είναι ενημερωμένα με επιδιορθώσεις ασφαλείας και ότι στους υπολογιστές τους είναι εγκατεστημένο ένα πρόγραμμα προστασίας από ιούς ανά πάσα στιγμή. Με αυτόν τον τρόπο θα ελαχιστοποίησετε τον κίνδυνο να πέσετε θύμα μιας από αυτές τις επιθέσεις και θα διασφαλίσετε ότι τυχόν πιθανές απειλές θα εντοπιστούν γρήγορα πριν προλάβουν να προκαλέσουν πραγματική ζημιά.
