Microsoft descobre ferramenta de malware com ligações à Rússia

Os investigadores da Microsoft descobriram uma ferramenta maliciosa utilizada por cibercriminosos, patrocinados pelo Estado russo, para roubar credenciais em redes comprometidas.

O malware GooseEgg explora uma vulnerabilidade, registada como CVE-2022-38028, no serviço Windows Print Spooler, que gere processos de impressão.

De acordo com os investigadores, o malware em causa poderá ter origem num grupo – o Forest Blizzard – associado à agência de inteligência militar da Rússia.

De acordo com o relatório apresentado pelos investigadores, o malware tem vindo a ser implementado, pelo menos, desde junho de 2020, contra instituições estatais, não governamentais, de educação e transporte na Ucrânia, Europa Ocidental e América do Norte.

“O uso do GooseEgg nas operações do Forest Blizzard é uma descoberta única que ainda não tinha sido relatada anteriormente pelos provedores de segurança”, revelaram os investigadores.

Após ter acesso a um dispositivo alvo, o Forest Blizzard utiliza o GooseEgg de forma a aumentar os privilégios dentro da rede, permitindo que os cibercriminosos realizem outras ações, tais como execução remota de código, instalação de um backdoor e movimentação lateral através de redes comprometidas.

O Forest Blizzard é também responsável por explorar outros bugs, como é o caso do CVE-2023-23397 que afeta todas as versões do software Microsoft Outlook em dispositivos Windows.

Em dezembro, a Microsoft alertou para o facto de a Forest Blizzard ter recorrido ao bug do Microsoft Outlook para obter acesso não autorizado a contas de email nos servidores do Microsoft Exchange desde abril de 2022.