Uma falha de segurança recentemente corrigida, que afeta o Windows NT LAN Manager (NTLM), foi explorada como um zero-day por um ator suspeito de ter ligações com a Rússia, como parte de ataques cibernéticos direcionados à Ucrânia.
A vulnerabilidade em questão,
CVE-2024-43451
(pontuação CVSS: 6.5), refere-se a uma vulnerabilidade de spoofing de divulgação do hash NTLM que poderia ser explorada para roubar o hash NTLMv2 de um usuário.
A Microsoft corrigiu-a no início desta semana.
"Interações mínimas com um arquivo malicioso por parte do usuário, como selecionar (com um clique), inspecionar (com o botão direito) ou realizar uma ação que não seja abrir ou executar, poderiam desencadear esta vulnerabilidade", revelou a Microsoft em seu aviso.
A empresa israelense de cibersegurança ClearSky, que descobriu a exploração do zero-day da falha em junho de 2024, disse que ela foi abusada como parte de uma cadeia de ataque que entrega o malware open-source Spark RAT.
"A vulnerabilidade ativa arquivos URL, levando a atividade maliciosa", disse a empresa, acrescentando que os arquivos maliciosos foram hospedados em um site oficial do governo ucraniano que permite aos usuários baixar certificados acadêmicos.
A cadeia de ataque envolve o envio de e-mails de phishing de um servidor ucraniano comprometido ("doc.osvita-kp.gov[.]ua") que solicita aos destinatários que renovem seus certificados acadêmicos clicando em uma URL repleta de armadilhas embutida na mensagem.
Isso leva ao download de um arquivo ZIP contendo um arquivo de atalho da internet malicioso (.URL).
A vulnerabilidade é disparada quando a vítima interage com o arquivo URL clicando com o botão direito, excluindo ou arrastando-o para outra pasta.
O arquivo URL é projetado para estabelecer conexões com um servidor remoto ("92.42.96[.]30") para baixar payloads adicionais, incluindo o Spark RAT.
"Além disso, uma execução em sandbox gerou um alerta sobre uma tentativa de passagem do NTLM (NT LAN Manager) Hash através do protocolo SMB (Server Message Block)", disse a ClearSky.
Após receber o Hash NTLM, um atacante pode realizar um ataque Pass-the-Hash para se identificar como o usuário associado ao hash capturado, sem precisar da senha correspondente. O Computer Emergency Response Team da Ucrânia (CERT-UA) vinculou a atividade a um provável ator de ameaça russo que ele rastreia como UAC-0194.
Nas últimas semanas, a agência também alertou que e-mails de phishing com iscas relacionadas a impostos estão sendo usados para propagar um software legítimo de desktop remoto chamado LiteManager, descrevendo a campanha de ataque como financeiramente motivada e realizada por um ator de ameaça chamado UAC-0050.
"Contabilistas de empresas cujos computadores trabalham com sistemas bancários remotos estão em uma zona especial de risco", alertou o CERT-UA.
Em alguns casos, como evidenciado pelos resultados de investigações forenses computacionais, pode levar não mais do que uma hora do momento do ataque inicial ao momento do roubo de fundos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...