Hackers ligados à Rússia exploraram uma nova vulnerabilidade no sistema Windows NT LAN Manager (NTLM), identificada como CVE-2024-43451, em ataques direcionados à Ucrânia. A falha, que permite a captura do hash NTLMv2 de um usuário, foi corrigida recentemente pela Microsoft, mas já havia sido usada como um “zero-day” em campanhas de phishing. O ataque requer apenas uma interação mínima do usuário com um arquivo malicioso, como clicar ou arrastar, para ativar o problema de segurança.

Especialistas israelense de cibersegurança revelaram que os atacantes utilizam essa vulnerabilidade para implantar o malware de acesso remoto Spark RAT, de código aberto. A cadeia de ataque começa com e-mails de phishing enviados a partir de um servidor comprometido do governo ucraniano. Esses e-mails solicitam que o destinatário renove certificados acadêmicos clicando em um link malicioso, que leva ao download de um arquivo ZIP com um atalho de URL. A vulnerabilidade é ativada quando a vítima interage com o arquivo, o que aciona uma conexão com um servidor remoto, permitindo que os invasores baixem cargas adicionais, incluindo o Spark RAT.

Segundo pesquisadores, os hackers utilizam a técnica “Pass-the-Hash” para assumir a identidade da vítima usando o hash NTLM capturado, sem a necessidade da senha. A CERT-UA, agência de resposta a emergências cibernéticas da Ucrânia, atribuiu o ataque ao grupo russo UAC-0194. Além disso, a CERT-UA alertou sobre outra campanha que utiliza e-mails com temas tributários para propagar o LiteManager, outro software de acesso remoto, visando especialmente contadores que usam sistemas bancários remotos. Esses ataques, muitas vezes com fins financeiros, ocorrem com rapidez, permitindo o roubo de fundos em poucos minutos após a invasão inicial.

Essas ações evidenciam o uso estratégico de vulnerabilidades recém-descobertas em ataques cibernéticos, com um foco específico em alvos ucranianos, no contexto de tensões políticas regionais.