Microsoft ha risolto una vulnerabilità di sicurezza utilizzata dagli attori delle minacce per aggirare la funzionalità di sicurezza di Windows SmartScreen e fornire payload di malwareMagniber ransomware e Qbot.
Gli aggressori hanno utilizzato file JavaScript standalone dannosi per sfruttare lo zero-dayCVE-2022-44698 per aggirare gli avvisi di sicurezza Mark-of-the-Web visualizzati da Windows per avvisare gli utenti che i file provenienti da Internet dovevano essere trattati con cautela.
“Un utente malintenzionato può creare un file dannoso che eluderebbe le difese Mark of the Web (MOTW), con conseguente perdita limitata di integrità e disponibilità di funzionalità di sicurezza come la visualizzazione protetta in Microsoft Office, che si basa sul tagging MOTW”
Secondo Microsoft, questa falla di sicurezza può essere sfruttata utilizzando tre vettori di attacco:
un utente malintenzionato potrebbe ospitare un sito Web dannoso che sfrutta il bypass della funzionalità di sicurezza;
un utente malintenzionato potrebbe inviare all’utente preso di mira un file .url appositamente predisposto per sfruttare il bypass.
I siti Web compromessi oi siti Web che accettano o ospitano contenuti forniti dagli utenti potrebbero contenere contenuti appositamente predisposti per sfruttare il bypass della funzionalità di sicurezza.
Tuttavia, in tutti questi scenari, gli attori delle minacce dovrebbero indurre i propri obiettivi ad aprire file dannosi o ad accedere ai siti Web controllati dagli aggressori contenenti un exploitCVE-2022-44698.
Il team di intelligence sulle minacce di HP ha riferito per la prima volta in ottobre che gli attacchi di phishing stavano distribuendo il ransomware Magniber utilizzando file JavaScript standalone.JS firmati digitalmente con un formato non valido come scoperto da Will Dormann, un analista di vulnerabilità senior presso ANALYGENCE.
Answer me this, Twitter brain: Why would the presence of an Authenticode signature that is both inherently invalid, and also definitely for different content, cause Windows to skip SmartScreen or other warning dialogs before executing a .JS file? MotW is present in both cases. https://t.co/u86JtLvKi1pic.twitter.com/p7BXOTZgrW
Ciò causerebbe l’errore di SmartCheck e consentirebbe l’esecuzione dei file dannosi senza lanciare alcun avviso di sicurezza e installare il ransomware Magniber, anche se è stato contrassegnato con un flag MoTW.
Il mese scorso, la stessa vulnerabilità zero-day di Windows è stata sfruttata anche negli attacchi di phishingper eliminare il malware Qbot senza visualizzare gli avvisi di sicurezza MOTW.
Come ha scoperto il ricercatore di sicurezza ProxyLife, gli attori delle minacce dietro questa recente campagna di phishing QBot sono passati al Windows Mark of the Web zero-day distribuendo file JS firmati con la stessa chiave malformata utilizzata negli attacchi ransomware Magniber.
QBot (alias Qakbot) è un trojan bancario di Windows che si è evoluto in un dropper di malware che ruba le e-mail per utilizzarle in successivi attacchi di phishing o fornisce payload aggiuntivi come Brute Ratel, Cobalt Strike e altri malware.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza:Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.