Se está utilizando una falla en la función anti-phishing y anti-malware de Windows para infectar computadoras con malware peligroso

Los piratas informáticos están utilizando una falla previamente no documentada en la función de seguridad SmartScreen de Microsoft para propagar Magniber Secuestro de datos, advirtió a los investigadores de Google. Los motivos de los atacantes son de naturaleza financiera.

Los ciberdelincuentes han explotado una vulnerabilidad de día cero en SmartScreen desde diciembre, dijeron investigadores del Threat Analysis Group (TAG) de Google. El 15 de febrero, el equipo de Google informó a Microsoft sobre esta vulnerabilidad y su explotación por parte de este grupo de ransomware. Microsoft lanzó un parche para CVE-2023-24880 el martes.

SmartScreen, que forma parte de Windows 10 y 11, así como del navegador web Edge de Microsoft, está diseñado para reconocer intentos suplantación de identidad y software malicioso. Un portavoz de Microsoft dijo que los usuarios que instalaron el parche ahora están protegidos.

Los analistas de TAG dicen que han visto más de 100 000 descargas de archivos MSI maliciosos utilizados en una campaña de distribución de ransomware desde enero de 2023, con usuarios en Europa detrás del 80 % de esas descargas. Los archivos MSI son similares a los archivos .EXE en que ambos tipos se usan para instalar y ejecutar programas de Windows.

Los investigadores dicen que el ransomware Magniber se dirigió anteriormente a organizaciones en Corea del Sur y Taiwán. Las empresas de ciberseguridad comenzaron a rastrearlo hace unos seis años.

Los investigadores dicen que esta es la segunda vez en aproximadamente seis meses que los operadores utilizan Magniber. Día cero para eludir SmartScreen y engañar a los usuarios de computadoras para que descarguen ransomware sigiloso de sitios web infectados.

En octubre, los expertos de HP descubrieron que las campañas de Magniber incluían un exploit para CVE-2022-44698, una vulnerabilidad que también afecta a SmartScreen. Otros piratas informáticos también comenzaron a explotar la falla antes de que Microsoft lanzara un parche en diciembre de 2022.

Cuando Microsoft bloqueó ese vector de ataque, el grupo Magniber encontró una forma similar de eludir SmartScreen. Los investigadores de TAG descubrieron que los archivos MSI infectados hacían que SmartScreen se comportara como lo hacía cuando el grupo usó archivos JScript en ataques anteriores. Esto permitió a los atacantes eludir la advertencia de seguridad que se muestra cuando un archivo va en contra de Mark-of-the-Web (MotW), otra característica del navegador que protege contra archivos maliciosos.

“Debido a que no se abordó la causa raíz de la omisión de la protección SmartScreen, los atacantes pudieron descubrir rápidamente una variante diferente del error original”, dijeron los investigadores de Google. El objetivo, dijeron, debe ser una solución “adecuada y completa” a tales problemas.

“Este desvío de seguridad es un ejemplo de una tendencia más amplia que Project Zero destacó anteriormente: los fabricantes a menudo lanzan parches ajustados, creando oportunidades para que los atacantes iteren y descubran nuevas variantes”, dijeron los investigadores.

Descubierto por primera vez a finales de 2017, el ransomware Magniber estuvo activo exclusivamente en Corea del Sur durante muchos años antes de extenderse a Taiwán.

Los ciberdelincuentes involucrados en esos ataques explotaron previamente varios otros errores de Microsoft, incluido CVE-2022-41091, que también era un error de MotW, así como la infame vulnerabilidad. ImprimirPesadilla, CVE-2021-34527.

Foto de cubierta: nada por delante