Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Вымогатель Magniber «пришёл» в Европу после многолетней активности в Азии

17/03/23

hack141-3

Согласно новому отчёту Google Threat Analysis Group , финансово мотивированные хакеры несколько месяцев подряд использовали неизвестную ранее уязвимость Microsoft SmartScreen для распространения программы-вымогателя Magniber.

Как сообщает Securitylab, киберпреступники активно эксплуатировали уязвимость нулевого дня SmartScreen (CVE-2023-24880) с декабря прошлого года. Команда Google уведомила Microsoft о наличии уязвимости в середине февраля, и лишь пару дней назад, 14 марта, компания из Редмонда наконец выпустила исправление.

SmartScreen предназначен для обнаружения попыток фишинга и вредоносных программ в Windows 10 и 11, а также в веб-браузере Edge. Представители Microsoft уже заявили, что пользователи вышеупомянутых продуктов, которые применили самый последний патч безопасности, — надёжно защищены.

Аналитики Google заявили, что с января 2023 года они видели более 100 тысяч загрузок вредоносных «.msi» файлов, используемых в кампании вымогателей. Причем 80% этих загрузок были совершены пользователями в Европе. Контейнер «.msi», как и привычный всем «.exe», используется для установки и запуска программ Windows.

Исследователи отметили, что ранее вымогатели Magniber были нацелены в основном на организации в Южной Корее и Тайване. И только сейчас, спустя 6 лет после выявления Magniber, вектор атак сместился на Европу.

Исследование команды Google основано на предыдущей работе, проделанной экспертами HP, которые в октябре прошлого года обнаружили, что кампании Magniber использовали другую уязвимость SmartScreen под идентификатором CVE-2022-44698. Во время прошлой кампании Magniber хакеры использовали файлы JScript с искажённой подписью, чтобы заставить SmartScreen возвращать ошибку, что в конечном итоге позволяло злоумышленникам обойти предупреждение безопасности и активировать вредоносное ПО.

Когда Microsoft заблокировала этот путь, группа Magniber нашла аналогичный способ нарушить работу SmartScreen. Исследователи Google обнаружили, что зараженные «.msi» файлы заставляли продукт Microsoft вести себя так же, как это было с файлми JScript: SmartScreen возвращал ошибку, позволяя злоумышленникам обойти предупреждение безопасности.

«Этот обход безопасности является примером более крупной тенденции, которую Project Zero подчеркивал ранее: поставщики программного обеспечения часто выпускают узкие исправления, оставляя злоумышленникам варианты обхода и дальнейшего использования уязвимости», — заявили исследователи Google.

Впервые обнаруженная в конце 2017 года, программа-вымогатель Magniber была активна исключительно в Южной Корее в течение многих лет, прежде чем распространиться на Тайвань, а затем и на другие страны. Ранее киберпреступники были замешаны в атаках, использующих несколько других уязвимостей Microsoft, включая CVE-2022-41091 и печально известную уязвимость PrintNightmare под идентификатором CVE-2021-34527.

Темы:GoogleЕвропаПреступленияВымогатели
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...