.
Os criminosos estão explorando um bug do Microsoft SmartScreen para distribuir o ransomware Magniber, potencialmente infectando centenas de milhares de dispositivos, sem levantar nenhuma bandeira vermelha de segurança, de acordo com o Threat Analysis Group (TAG) do Google.
A TAG descobriu o exploit in-the-wild e o relatou à Microsoft no mês passado. Redmond corrigiu a vulnerabilidade do Windows-Office, rastreada como CVE-2023-24880hoje em seu evento mensal Patch Tuesday.
Está relacionado a uma vulnerabilidade semelhante de desvio do recurso de segurança do Windows SmartScreen, CVE-2022-44698que a Microsoft corrigiu em dezembro – mas não antes de criminosos o encontrarem e usarem para lançar o mesmo malware.
A causa raiz de ambos é uma falha no Mark-of-the-Web da Microsoft (MotW) recurso. Isso deve definir um sinalizador nos metadados para arquivos obtidos da Internet, pen drives e outras fontes não confiáveis para garantir que, quando os arquivos forem abertos, proteções extras de segurança sejam ativadas.
Ambas as vulnerabilidades permitem que criminosos contornem esse recurso, o que significa que suas vítimas podem baixar arquivos maliciosos embalados com ransomware que não carregam o sinalizador MotW, o que acionaria essa camada adicional de segurança.
Enquanto os criminosos usavam arquivos JScript para entregar Magniber ransomware por meio do bug anterior, a nova campanha usa arquivos Microsoft Software Installer (MSI) com um tipo diferente de assinatura malformada, de acordo com a TAG.
Os caçadores de ameaças do Google documentaram mais de 100.000 downloads dos arquivos MSI maliciosos desde janeiro de 2023 e disse que mais de 80% deles foram baixados por usuários europeus, o que é notável porque o Magniber geralmente tem como alvo vítimas na Coreia do Sul e Taiwan.
Este segundo desvio de segurança destaca um problema maior, de acordo com a equipe do Google, e é um problema que os pesquisadores têm apontado anteriormente: os fornecedores precisam corrigir a causa raiz da falha de segurança, não apenas emitir um patch localizado mais rápido.
Aqui está o que aconteceu. No outono, pesquisadores de segurança descobriram campanhas de ransomware, primeiro Magniber e depois o Qakbot, explorando o bug do Windows e ignorando o MotW da Microsoft. Eles fizeram isso usando um arquivo JScript com uma assinatura malformada que forçou a solicitação do SmartScreen a retornar um erro e acionar a opção padrão — contornando o MotW e permitindo que a vítima abrisse o arquivo sem acionar o aviso de segurança.
Alguns fornecedores terceirizados lançou patches não oficiais antes de Redmond finalmente plugado CVE-2022-44698 em dezembro.
O problema com a correção de dezembro, de acordo com a TAG, é que “a Microsoft corrigiu o CVE-2022-44698 em smartscreen.exe, não gerando um erro neste caso específico, mas seguindo um caminho alternativo”.
Isso permitiu que os malfeitores gerassem um erro usando um caminho diferente – neste caso, um arquivo MSI assinado com uma assinatura Authenticode inválida, mas especialmente criada – para, mais uma vez, ignorar o aviso de segurança e o patch de dezembro.
De acordo com a equipe TAG: “Como a causa raiz por trás do desvio de segurança do SmartScreen não foi abordada, os invasores conseguiram identificar rapidamente uma variante diferente do bug original”.
Hoje, o Google também Publicados indicadores de compromisso para ambas as campanhas Magniber, bem como a campanha Qakbot. ®
.
