Trojan PipeMagic explora vulnerabilidade de Zero-Day no Windows para disseminar Ransomware

A Microsoft anunciou a correção de uma vulnerabilidade crítica no Common Log File System (CLFS) do Windows, que estava sendo explorada por hackers em um ataque de ransomware de zero-day direcionado a alvos específicos. A falha, identificada como CVE-2025-29824, é um bug de escalonamento de privilégios que permitia a invasores obter acesso ao nível de SISTEMA. O problema foi resolvido na atualização Patch Tuesday de abril de 2025.

Os ataques atingiram organizações nos setores de tecnologia da informação (TI) e imobiliário dos Estados Unidos, o setor financeiro da Venezuela, uma empresa de software na Espanha e o varejo da Arábia Saudita, conforme relatado pela Microsoft. A companhia está monitorando essas atividades sob o codinome Storm-2460, observando que os hackers utilizam o trojan PipeMagic para distribuir a exploração e implantar ransomware.

Embora o método exato de entrada inicial permaneça desconhecido, os invasores foram flagrados utilizando a ferramenta certutil para baixar malware a partir de um site legítimo de terceiros previamente comprometido. Esse malware, um arquivo MSBuild malicioso com uma carga criptografada, ativa o PipeMagic, um trojan baseado em plug-ins detectado desde 2022 e já associado a outras explorações de zero-day, como a CVE-2025-24983 (corrigida em março de 2025) e a CVE-2023-28252, usada em ataques do ransomware Nokoyawa.

A exploração da CVE-2025-29824 manipula uma falha no driver do kernel CLFS, utilizando corrupção de memória e a API RtlSetAllBits para conceder privilégios máximos ao processo malicioso, permitindo a injeção em processos do SISTEMA. Após o sucesso, os hackers extraem credenciais de usuário por meio do despejo da memória do LSASS e criptografam arquivos com extensões aleatórias, deixando uma nota de resgate vinculada ao ransomware RansomEXX, acessível via domínio TOR.

A Microsoft destaca que o Windows 11, versão 24H2, não é suscetível a essa exploração devido a restrições de acesso a Classes de Informações do Sistema no NtQuerySystemInformation, limitadas a usuários com privilégios administrativos (SeDebugPrivilege). Apesar disso, a empresa não conseguiu analisar uma amostra do ransomware, mas alerta que hackers valorizam esse tipo de exploração pós-comprometimento para ampliar o acesso inicial e executar ataques em larga escala.

Via - THN