Ορισμένες ευρωπαϊκές κυβερνήσεις ήταν οι στόχοι μιας εκστρατείας ηλεκτρονικού ψαρέματος που χρησιμοποιεί κακόβουλα έγγραφα εμπλουτισμένου κειμένου (RTF από το Rich Text Format). Τα συγκεκριμένα έγγραφα είχαν σχεδιαστεί για την εκμετάλλευση μιας κρίσιμης ευπάθειας των Windows (zero-day) γνωστή σαν Follina.
“Η Proofpoint μπλόκαρε μια ύποπτη καμπάνια phishing που προσπαθούσε να εκμεταλλευτεί το Follina/CVE_2022_30190“, αποκάλυψαν ερευνητές ασφαλείας της εταιρείας Proofpoint.
Οι επιτιθέμενοι χρησιμοποίησαν υποσχέσεις αύξησης μισθού για να κάνουν τους υπαλλήλους να ανοίξουν τα έγγραφα που περιείχαν ένα κακόβουλο Powershell script.
Με το PowerShell script αυτής της επίθεσης, οι επιτιθέμενοι καταφέρνουν να συγκεντρώνουν μεγάλες ποσότητες πληροφοριών:
Κωδικοί πρόσβασης από προγράμματα περιήγησης: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc και AVAST Browser.
Δεδομένα από άλλες εφαρμογές: Mozilla Thunderbird, Netsarang session files, Windows Live Mail contacts, Filezilla passwords, ToDesk configuration file, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
Πληροφορίες από τα Windows: Πληροφορίες υπολογιστή, λίστα ονομάτων χρηστών, πληροφορίες domain των Windows
Η Proofpoint υποπτεύεται ότι αυτή η εκστρατεία τρέχει από κάποια κυβέρνηση.
Το κενό ασφαλείας που χρησιμοποιείται σε αυτές τις επιθέσεις παρακολουθείται σαν CVE-2022-30190 και το Redmond το αναφέρει σαν σφάλμα απομακρυσμένης εκτέλεσης κώδικα στο διαγνωστικό εργαλείο υποστήριξης των Microsoft Windows (MSDT από το Microsoft Windows Support Diagnostic Tool).
Το CVE-2022-30190 εξακολουθεί να μην έχει επιδιορθωθεί και επηρεάζει όλες τις εκδόσεις των Windows που εξακολουθούν να λαμβάνουν ενημερώσεις ασφαλείας (δηλαδή, Windows 7+ και Server 2008+).
Ενώ η Microsoft δεν έχει ακόμη κυκλοφορήσει ενημερώσεις που επιδιορθώνουν την ευπάθεια CVE-2022-30190, η CISA προτρέπει τους διαχειριστές και τους χρήστες των Windows να απενεργοποιήσουν το πρωτόκολλο MSDT που χρησιμοποιείται σε αυτές τις επιθέσεις, αφού το exploit κυκλοφορεί ήδη στο διαδίκτυο.
Μέχρι να κυκλοφορήσει η Microsoft επίσημες ενημερώσεις ασφαλείας, μπορείτε να επιδιορθώσετε τα συστήματά σας χρησιμοποιώντας ανεπίσημες ενημερώσεις που κυκλοφορούν από την υπηρεσία micropatching 0patch (απαιτείται εγγραφή και δεν το συνιστούμε).