Семейство программ- вымогателей, нацеленных на отдельных пользователей компьютеров, использует ошибку нулевого дня Windows для заражения пользователей, обнаружил старший аналитик ANALYGENCE Уилл Дорманн.
Исследователи HP Wolf Security недавно опубликовали сообщение в блоге о способности кампании вымогателей Magniber использовать JavaScript для маскировки вредоносного файла под антивирус или обновление Windows 10. Magniber нацелен на отдельных пользователей компьютеров с требованием выкупа в размере 2500 долларов, а не на более крупные компании.
Кампания,
Исследователи HP отметили, что
Как заметил Дорманн, недавно он добавил в свой арсенал новую технику.
Обход предупреждений Windows MOTW
Хотя сначала он распространялся в основном через файлы MSI и.exe, исследователи HP отметили, что, начиная с сентября 2022 года, Magniber распространялся с использованием файлов JavaScript.
В ответ на отчет HP Дорманн на прошлой неделе заметил, что файлы JavaScript, распространяемые Magniber, подписаны искаженной подписью Authenticode, что позволяет Windows открывать файл без диалогового окна предупреждения
Дорманн отметил, что неподписанный файл JavaScript получает диалоговое окно с предупреждением, в то время как файл с поврежденной подписью просто запускается, не вызывая диалогового окна.
Генеральный директор ACROS Security Митя Колсек ответил: «Черт возьми, мы только что исправили ошибку разархивирования Windows, чтобы убедиться, что извлеченные файлы имеют MOTW, и теперь,
Дорманн немного утешил, заметив: «Похоже, это касается только вещей, использующих Authenticode».
Представлено с Windows 10
Позже Дорманн заметил, что Windows 8.1 действительно предоставляет диалоговое окно с предупреждением, предполагая, что уязвимость, вероятно, появилась с выпуском Windows 10.
Как он объяснил BleepingComputer, ошибка связана с функцией Windows 10 «Проверить приложения и файлы» SmartScreen в разделе «Безопасность Windows» > «Управление приложениями и браузером» > «Настройки защиты на основе репутации «.
«Эта проблема связана с новой функцией SmartScreen в Win10, — сказал Дорманн. «А отключение «Проверки приложений и файлов» возвращает Windows к устаревшему поведению, когда подсказки MOTW не связаны с подписями Authenticode», — сказал он.
Таким образом, есть компромисс: если вы активируете эту функцию, Windows сканирует неподписанные файлы, но не нужно много усилий, чтобы обойти ее. Как сказал Дорманн BleepingComputer, «злоумышленники, которые воспользуются этой ошибкой, могут получить МЕНЕЕ БЕЗОПАСНОЕ поведение Windows по сравнению с тем, когда эта функция отключена».