Złośliwe oprogramowanie infekuje Windowsa. Sprytnie maskuje swoje działanie

Złośliwe oprogramowanie atakuje Windowsa

Sekurak donosi o odnalezieniu złośliwego oprogramowania, które co najmniej od początku 2023 r. wykorzystywane było w realnych atakach na komputery z Windowsem. Chodzi o exploit luki 0-day oznaczonej jako CVE-2024-38112 i sklasyfikowanej jako wysokie zagrożenie dla cyberbezpieczeństwa.

Atak rozpoczynał się od dostarczenia ofierze, np. dzięki phishingowi, pliku o rozszerzeniu URL. Jak wskazuje sama nazwa, tak naprawdę był on więc odnośnikiem, jednak przez nazwę zakończoną na “.pdf” oraz zdefiniowaną konkretną ikonę na pierwszy rzut oka niczym nie różnił się od PDF-ów.

Wydano pilne ostrzeżenie. Dotyczy wszystkich użytkowników Facebooka Czytaj dalej

Skuteczne mechanizmy maskowania

Skrót wymuszał otwarcie adresu nie w Edge’u, lecz we wciąż dostępnej w Windowsie, lecz ukrytej, przeglądarce Internet Explorer. To właśnie w niej tkwiła podatność CVE-2024-38112. Pozwalała ona na otwarcie adresu z uwzględnieniem znaków spacji, przez co komunikat wyświetlany przez przeglądarkę nie zawierał prawdziwego rozszerzenia i plik nadal przedstawiał się jako PDF.

Zobacz: Unia oskarża X o łamanie prawa. Musk odpowiedział teorią spiskową

Wówczas wystarczyło kliknąć otwórz - oraz zatwierdzić eskalację uprawnień do administracyjnych - aby doszło do zainfekowania komputera. Sam komunikat o żądaniu uprawnień zawierał informację, że strona została wydana przez Microsoft Windows, co zapewne uspokoiłoby sumienia podejrzewających atak ofiar.

Konieczna natychmiastowa aktualizacja

Po infekcji oprogramowanie mogło uczynić z komputerem, co tylko zażyczył sobie atakujący. Oczywiście w obrębie uprawnień administratora. Dobre wieści są takie, że luka została już załatana. Wszystkim użytkownikom Windowsa, niezależnie od wykorzystywanej wersji systemu, zalecamy jego jak najszybszą aktualizację.