A Microsoft corrigiu mais um bug de dia zero usado por atacantes para contornar o serviço antivírus baseado em nuvem Windows SmartScreen e implantar cargas úteis de ransomware Magniber sem levantar suspeitas.
Os atacantes têm usado arquivos MSI maliciosos assinados com uma assinatura Authenticode especialmente criada para explorar esta vulnerabilidade de bypass de recurso de segurança (rastreada como
CVE-2023-24880
).
Embora a assinatura seja inválida, tem sido suficiente para enganar o SmartScreen e evitar que alertas de segurança Mark-of-the-Web (MotW) surjam e alertem os usuários a terem cuidado ao abrir arquivos da Internet.
O dia zero
CVE-2023-24880
ativamente explorado foi descoberto pelo Google Threat Analysis Group (TAG), que o reportou à Microsoft em 15 de fevereiro.
"O TAG observou mais de 100.000 downloads dos arquivos MSI maliciosos desde janeiro de 2023, com mais de 80% para usuários na Europa - uma divergência notável do alvo típico do Magniber, que geralmente se concentra na Coreia do Sul e Taiwan", diz o Google TAG.
A operação de ransomware Magniber tem sido ativa desde pelo menos outubro de 2017 como sucessor do ransomware Cerber, quando suas cargas úteis eram implantadas por meio de malvertising usando o Magnitude Exploit Kit (EK).
Embora inicialmente focado em atacar a Coreia do Sul, o grupo agora expandiu ataques em todo o mundo, mudando o foco para outros países, incluindo China, Taiwan, Malásia, Hong Kong, Cingapura e agora Europa.
O Magniber tem sido bastante ativo desde o início do ano, com centenas de amostras sendo enviadas para análise na plataforma ID Ransomware.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...