A néhány hete felfedezett, és hivatalosan továbbra sem javított windows-os nulladik napi hibáját (Follina) kiberbűnözők már olyan káros programok terjesztésére is kihasználják, ami csupán egy lépésre van a zsarolóvírusok terjesztésétől.
A furcsa nevű sebezhetőség, ami nevét az első fertőzött Word fájl nevében szereplő (05-2022-0438.doc) 0438 számsorozat után kapta ─ ami Olaszország Follina tartományának régiókódja ─ ismertté válásával szinte egyidőben több aktív kihasználásról érkeztek hírek. Elsőként a Proofpont számolt be egy kínai hátterű hacker csoportról, akik a száműzetésben lévő tibeti kormány tagjait támadták célzott adathalászattal.
Az elmúlt héten egy újabb ─ a TA570 kódnévvel azonosított ─ fenyegetési szereplőről derült ki, hogy támadások során a Qbot nevű banki trójai terjesztésére használja fel a sérülékenységet. A támadó e-mailben egy tömörített archív fájlt tölt le. Az ebben található fájlok (DLL, egy Word fájl és egy parancsikon) kattintás után letöltik és futtatják a malware-t. A Proofpont megfigyeléseit több kiberbiztonsági kutató is megerősítette.
Nicole Hoffman, a Digital Shadows szenior kiberhírszerzési elemzője, valamint Allan Liska, a Recorded Future ransomware specialistája szerint mindez azért aggasztó, mert a Qbot banki trójait a korábbi tapasztalatok szerint zsarolóvírus csoportok is előszeretettel alkalmazzák, mint például a hírhedt Conti, a Black Basta, vagy épp a kifejezetten francia vállalatok elleni támadásokról ismert Lockean ransomware csoport.
A szakemberek hangsúlyozzák, hogy bár eddig nem azonosítottak olyan zsarolóvírus-támadást, amelynél direkt kapcsolat állt fenn a Follina sebezhetőséggel, azonban az nagyon is valószínű, hogy csupán idő kérdése, hogy ilyen támadásokra is sor kerüljön.
A hivatalos javításig a sérülékeny ms-msdt URI séma registry kulcs eltávolítása javasolt.
Az NBSZ NKI az eset kapcsán kiadott rendkívüli tájékoztatója az Intézet oldalán itt érhető el.
