Вымогатель Magniber «пришёл» в Европу после многолетней активности в Азии

Согласно новому отчёту Google Threat Analysis Group , финансово мотивированные хакеры несколько месяцев подряд использовали неизвестную ранее уязвимость Microsoft SmartScreen для распространения программы-вымогателя Magniber.

Как сообщается, киберпреступники активно эксплуатировали уязвимость нулевого дня SmartScreen ( CVE-2023-24880 ) с декабря прошлого года. Команда Google уведомила Microsoft о наличии уязвимости в середине февраля, и лишь пару дней назад, 14 марта, компания из Редмонда наконец выпустила исправление.

SmartScreen предназначен для обнаружения попыток фишинга и вредоносных программ в Windows 10 и 11, а также в веб-браузере Edge. Представители Microsoft уже заявили, что пользователи вышеупомянутых продуктов, которые применили самый последний патч безопасности, — надёжно защищены.

Аналитики Google заявили, что с января 2023 года они видели более 100 тысяч загрузок вредоносных «.msi» файлов, используемых в кампании вымогателей. Причем 80% этих загрузок были совершены пользователями в Европе. Контейнер «.msi», как и привычный всем «.exe», используется для установки и запуска программ Windows.

Исследователи отметили, что ранее вымогатели Magniber были нацелены в основном на организации в Южной Корее и Тайване. И только сейчас, спустя 6 лет после выявления Magniber, вектор атак сместился на Европу.

Исследование команды Google основано на предыдущей работе, проделанной экспертами HP, которые в октябре прошлого года обнаружили, что кампании Magniber использовали другую уязвимость SmartScreen под идентификатором CVE-2022-44698 . Во время прошлой кампании Magniber хакеры использовали файлы JScript с искажённой подписью, чтобы заставить SmartScreen возвращать ошибку, что в конечном итоге позволяло злоумышленникам обойти предупреждение безопасности и активировать вредоносное ПО.

Когда Microsoft заблокировала этот путь, группа Magniber нашла аналогичный способ нарушить работу SmartScreen. Исследователи Google обнаружили, что зараженные «.msi» файлы заставляли продукт Microsoft вести себя так же, как это было с файлми JScript: SmartScreen возвращал ошибку, позволяя злоумышленникам обойти предупреждение безопасности.

«Этот обход безопасности является примером более крупной тенденции, которую Project Zero подчеркивал ранее: поставщики программного обеспечения часто выпускают узкие исправления, оставляя злоумышленникам варианты обхода и дальнейшего использования уязвимости», — заявили исследователи Google.

Впервые обнаруженная в конце 2017 года, программа-вымогатель Magniber была активна исключительно в Южной Корее в течение многих лет, прежде чем распространиться на Тайвань, а затем и на другие страны. Ранее киберпреступники были замешаны в атаках, использующих несколько других уязвимостей Microsoft, включая CVE-2022-41091 и печально известную уязвимость PrintNightmare под идентификатором CVE-2021-34527 .