cibercriminosos usam truques de Dia Zero para atrair vítimas

Internet Explorer ressuscitado: cibercriminosos usam truques de Dia Zero para atrair vítimas

Os pesquisadores da Check Point Research (CPR) revelaram uma vulnerabilidade à Microsoft em maio deste ano que publicou os patches no dia 9 de julho (ontem); os atacantes estão atraindo usuários de Windows 10 e 11 para habilitarem a execução remota de código e acessarem seus computadores

Os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, alertam sobre um novo ataque de falsificação realizado por agentes de ameaças que estão utilizando arquivos de atalho do Internet Explorer para atrair usuários do Windows 10/11 e executar código remoto. A equipe da CPR recomenda que os usuários/clientes da Microsoft apliquem os patches imediatamente.

Os cibercriminosos estão “explorando” o Internet Explorer em novo ataque de falsificação de Dia Zero (vulnerabilidade CVE-2024-38112). As principais descobertas dos pesquisadores da Check Point Software sobre isto foram:

• Atacantes estão atraindo usuários do Windows 10/11 a habilitar a execução remota de código e acessar seus computadores.
• Essa vulnerabilidade tem sido explorada em ambientes reais há mais de um ano, potencialmente afetando milhões de usuários.
• A CPR revelou a vulnerabilidade à Microsoft em maio de 2024; a Microsoft publicou os patches em 9 de julho de 2024.
• A CPR recomenda que os usuários façam atualizações e apliquem patches regulares em todos os softwares para garantir a máxima proteção contra ameaças cibernéticas.

Os pesquisadores da CPR apontaram que os atacantes estão utilizando truques novos (ou desconhecidos anteriormente) para atrair usuários do Windows, a fim de realizarem execução remota de código. Especificamente, os atacantes usaram arquivos especiais de Atalho da Internet do Windows (extensão[.]url) que, quando clicados, chamariam o “aposentado” Internet Explorer (IE) para visitar a URL controlada pelo atacante. Um truque adicional no IE foi usado para esconder a extensão maliciosa “[.]hta”.

Ao abrir a URL com o Internet Explorer, em vez dos navegadores modernos e muito mais seguros como o Chrome ou Edge no Windows, o atacante ganhou vantagens significativas para explorar o computador da vítima, mesmo que o computador esteja rodando o moderno sistema operacional Windows 10/11.

Uma observação relevantes dos pesquisadores da CPR: não é incomum que agentes de ameaças usem arquivos [.]url como um vetor de ataque inicial em suas campanhas. Até mesmo o uso de vulnerabilidades novas ou de dia zero relacionadas a arquivos [.]url já aconteceu anteriormente — a vulnerabilidade CVE-2023-36025, que foi corrigida em novembro de 2023, é um bom exemplo disso.

Os arquivos [.]url maliciosos descobertos pela CPR datam de janeiro de 2023 até 13 de maio de 2024. Isso sugere que os cibercriminosos estão usando essas técnicas de ataque há bastante tempo.

Os pesquisadores da Check Point Software recomendam que os usuários do Windows permaneçam atentos quanto a arquivos [.]url enviados de fontes não confiáveis. Este ataque permite que os cibercriminosos utilizem o Internet Explorer (IE), em vez dos navegadores mais seguros atuais como Chrome e Edge.

Basicamente, o ataque funciona de duas maneiras:

• O truque “mhtml” que permite ao atacante chamar (ou “ressuscitar”) o navegador IE;
• Enganar o usuário para que abrir o que ele pensará ser um arquivo PDF, mas, na verdade, será um aplicativo perigoso [.]hta.

Soluções para defesa e mitigação

A Check Point Software lançou meses atrás (antes desta divulgação) as seguintes proteções em seus produtos IPS e na solução Harmony Email and Collaboration: a assinatura IPS chamada “Execução Remota de Código em Arquivos de Atalho da Internet” (em inglês, “Internet Shortcut File Remote Code Execution”) para clientes protegerem-se contra esse ataque de dia zero.

Além disso, os usuários do Windows devem instalar imediatamente o patch da Microsoft.

Para a análise completa desse ataque pelos pesquisadores da Check Point Research (CPR), visite o site.

Veja também:

• Empresas latino-americanas de ataques com CVs infectados
• Phishing lidera ranking global dos ciberataques
• Relatório da Salt Security 2024 confirma tendências do Gartner®
• Reconhecimento facial em condomínios: riscos e desafios para a proteção de dados
• 8 medidas para se proteger e identificar se seus dados foram vazados
• Passo a passo para identificar e prevenir ataques cibernéticos
• Rede corporativa da TeamViewer foi violada em suposto hack APT
• A Era Digital e a Saúde: Desafios dos serviços de Telemedicina no Brasil
• Cuidado: Hackers vazam dados da Twilio
• Authy é atacado e Twilio alerta usuários
• O que é SAST e DAST?
• Líderes de SI são pressionados a reduzir a gravidade dos riscos