Magniber ransomware actors used a variant of Microsoft SmartScreen bypass

Google’s Threat Analysis Group (TAG) recently discovered usage of an unpatched security bypass in Microsoft’s SmartScreen security feature, which financially motivated actors are using to deliver the Magniber ransomware without any security warnings. The attackers are delivering MSI files signed with an invalid but specially crafted Authenticode signature. The malformed signature causes SmartScreen to return an error that results in bypassing the security warning dialog displayed to users when an untrusted file contains a Mark-of-the-Web (MotW), which indicates a potentially malicious file has been downloaded from the internet.

Googleの脅威分析グループ(TAG)は、MicrosoftのSmartScreenセキュリティ機能でパッチが適用されていないセキュリティバイパスの使用を発見しました,。金銭目的の攻撃者がセキュリティ警告なしでマグニバーランサムウェアを配信するために使用しています。攻撃者は、無効であるが特別に細工されたAuthenticode署名で署名されたMSIファイルを配信しています。署名の形式が正しくないため、SmartScreen はエラーを返し、信頼できないファイルがMark-of-the-Web (MotW)(インターネットから悪意のあるファイルがダウンロードされた可能性があることを示す ) を含んでいる場合にユーザーに表示されるセキュリティ警告ダイアログをバイパスすることとなります。