Van új a nap alatt: új adathalász csatolmánnyal támadnak a csalók
2022 júliusában a Microsoft letiltotta a makrókat az Office-ban, ami arra késztette a támadókat, hogy új fájltípusokkal kísérletezzenek az adathalász támadásokban. Úgy tűnik, eredményesek voltak…
Az NKI tájékoztatása szerint a támadók először az ISO lemezképekre és a jelszóval védett ZIP fájlokra váltottak, mivel a Windows nem jelölte meg ezeket a fájltípusokat potenciálisan nem biztonságosnak (MoTW), így a felhasználók nem kaptak figyelmeztetést a fájlok megnyitásakor, így könnyebben és észrevétlenül be tudtak a támadók jutni a rendszerükbe. Miután a Microsoft kijavította ezt a problémát az ISO és a 7-Zip fájlokban, és hozzáadta a MoTW flag lehetőségét, a támadók kénytelenek voltak új mellékletekre, például Windows Shortcuts és OneNote fájlokra váltani.
A támadók most egy új fájltípusra, a Windows MSC (.msc) fájlokra váltottak, amelyeket a Microsoft Management Console-ban (MMC) használnak az operációs rendszer kezelésére vagy a gyakran használt eszközök egyéni nézeteinek létrehozására.
Az Elastic csapata fedezett fel egy új technikát az MSC fájlok terjesztésére és az apds.dll fájlban található régi, de még nem javított Windows XSS hibával való visszaélésre a Cobalt Strike telepítéséhez. Találtak egy mintát (sccm-updater.msc), amelyet 2024. június 6-án töltöttek fel a VirusTotalra, és amely a GrimResource-t használja, vagyis a technikát aktívan kihasználják. A helyzetet tovább rontja, hogy a VirusTotal egyik vírusirtó motorja sem jelölte rosszindulatúnak.