Threats
Uma vulnerabilidade de zero day no Windows tem sido explorada por grupos patrocinados pelo Estado para roubo de dados e ciberespionagem
20/03/2025
|
Uma falha de segurança no Windows, identificada como ZDI-CAN-25373, tem sido utilizada por, pelo menos, onze grupos de ameaças ligados a países como China, Irão, Coreia do Norte e Rússia. O problema, reportado pela Zero Day Initiative (ZDI) da Trend Micro, permite a execução de comandos maliciosos ocultos através de ficheiros de atalho do Windows (.LNK). A exploração desta vulnerabilidade tem estado associada a campanhas de espionagem e ataques financeiros desde 2017. Segundo os investigadores Peter Girnus e Aliakbar Zahravi, os ataques utilizam argumentos de linha de comando ocultos nos ficheiros .LNK para executar cargas maliciosas sem deteção. Para evitar a identificação por soluções de segurança, os atacantes preenchem os argumentos com caracteres de espaço e tabulação, entre outros, dificultando a análise dos comandos executados. A investigação revelou quase mil ficheiros LNK maliciosos ligados a grupos como Evil Corp, Kimsuky, Konni, Bitter e ScarCruft. Entre os onze grupos identificados, quase metade tem origem na Coreia do Norte, sugerindo uma possível colaboração entre diferentes entidades ligadas ao ciberespaço norte-coreano. Os principais alvos incluem governos, instituições financeiras, think tanks e entidades militares de países como Estados Unidos, Canadá, Rússia, Coreia do Sul, Vietname e Brasil. A ZDI destacou que a falha tem sido utilizada para distribuir malware conhecido, incluindo Lumma Stealer, GuLoader e Remcos RAT. Um dos casos mais relevantes envolve a Evil Corp, que utilizou a vulnerabilidade para disseminar o Raspberry Robin. Apesar do impacto significativo, a Microsoft classificou o problema como de baixa gravidade e não planeia lançar uma correção específica. Em resposta às preocupações, a Microsoft indicou que o Microsoft Defender já possui deteções para bloquear ataques que exploram esta falha. Além disso, funcionalidades como o Smart App Control adicionam camadas de proteção ao impedir a execução de ficheiros suspeitos. A empresa também sublinha que os seus produtos, como Outlook e Word, bloqueiam por padrão ficheiros .LNK provenientes da Internet, alertando os utilizadores sobre potenciais riscos. A Microsoft reconheceu a importância da investigação da ZDI e afirmou que poderá abordar a vulnerabilidade numa futura atualização de segurança. No entanto, considera que o método descrito tem aplicação prática limitada para atacantes, confiando nas atuais soluções de segurança para mitigar a ameaça. |
Receba todas as novidades na sua caixa de correio!
THREATS
Milhares de sites WordPress comprometidos com malware DollyWay
PODCAST
Eleições e NIS2: o impasse na transposição da diretiva em destaque no mais recente episódio do IT Security Watch
ANALYSIS
Cibersegurança com peso significativo nas adjudicações do setor público em Portugal
ITECH
Google lança nova versão do scanner de vulnerabilidades open source
ANALYSIS
Mais de 3,2 mil milhões de credenciais comprometidas durante 2024
THREATS
Três em cada quatro utilizadores empresariais partilham dados sensíveis com aplicações de IA generativa
THREATS
Google corrige falha crítica no Chrome após campanha de ciberespionagem contra organizações russas
THREATS
Vulnerabilidades críticas em Kubernetes abrem caminho à exposição de clusters
THREATS
Detetada atividade de ciberespionagem contra entidade europeia
THREATS
Vulnerabilidade crítica do Chrome permite execução de código
