O cale de exploatare găsită de Trend Micro în Windows a fost folosită într-o campanie de spionaj timp de opt ani. Nu există niciun semn de remediere de la Microsoft, care aparent consideră că aceasta este o prioritate scăzută.
Metoda de atac nu este sofisticată, dar eficientă, bazându-se pe scurtături .lnk corupte, care conțin comenzi pentru a descărca programe malware. Deși par să indice fișiere sau executabile legitime, aceste comenzi rapide includ în spate instrucțiuni suplimentare pentru a prelua sau a despacheta și a încerca să ruleze alte aplicații rău intenționate.
Vulnerabilitate Windows raportată de opt ani
De obicei, ținta comenzii rapide și argumentele liniei de comandă ar fi clar vizibile în Windows, făcând comenzile suspecte ușor de identificat. Dar inițiativa Zero Day a lui Trend a spus că a observat hackerii susținuți de Coreea de Nord completând liniile de comandă cu megaocteți de spațiu alb, ascunzând comenzile reale în afara spațiului vizibil din interfața utilizatorului.
Trend a raportat acest lucru către Microsoft în septembrie anul trecut și estimează că a fost folosit din 2017. A spus că a găsit aproape 1.000 de fișiere .lnk manipulate în circulație, dar estimează că numărul real de atacuri ar fi putut fi mai mare.
„Acesta este unul dintre multele erori pe care le folosesc atacatorii, dar acesta este unul care nu este corectat și de aceea l-am raportat ca zi zero”, a declarat Dustin Childs, specialist Zero Day Initiative, pentru The Register.
După ce a analizat cu atenție mostre .lnk rău intenționate, magazinul de securitate a spus că a descoperit că marea majoritate a acestor fișiere proveneau de la atacatori sponsorizați de stat (aproximativ 70 la sută), folosite pentru spionaj sau furt de informații, iar alte 20 la sută merg după câștiguri financiare. Dintre echipajele sponsorizate de stat, 46% dintre atacuri au venit din Coreea de Nord, în timp ce Rusia, Iran și China au reprezentat fiecare aproximativ 18% din activitate.
Puteți citi raportul complet despre această vulnerabilitate Windows aici. Deloc surprinzător, computerele guvernamentale au fost cele mai căutate, urmate de sectorul privat și apoi de instituțiile financiare, think tank-urile și companiile de telecomunicații. Țintele militare și energetice au fost și ele atacate de pirații internetului.
