Uma falha de segurança no Microsoft Defender SmartScreen, agora corrigida, foi explorada como parte de uma nova campanha projetada para entregar ladrões de informações, como ACR Stealer, Lumma e Meduza.
A Fortinet FortiGuard Labs disse que detectou a campanha de roubo de informações mirando Espanha, Tailândia e Estados Unidos, usando arquivos armadilhados que exploram o
CVE-2024-21412
(pontuação CVSS: 8.1).
A vulnerabilidade de alta severidade permite que um atacante contorne a proteção SmartScreen e baixe payloads maliciosos.
A Microsoft abordou essa questão como parte de suas atualizações de segurança mensais lançadas em fevereiro de 2024.
"Inicialmente, os atacantes atraem as vítimas para clicarem em um link elaborado para um arquivo URL projetado para baixar um arquivo LNK", disse a pesquisadora de segurança Cara Lin.
"O arquivo LNK então baixa um arquivo executável contendo um script [HTML Application]".
O arquivo HTA serve como um meio para decodificar e descriptografar o código PowerShell responsável por buscar um arquivo PDF de isca e um injetor de shellcode que, por sua vez, leva à implementação do Meduza Stealer ou Hijack Loader, o qual posteriormente lança ACR Stealer ou Lumma.
ACR Stealer, avaliado como uma versão evoluída do GrMsk Stealer, foi anunciado no final de março de 2024 por um ator de ameaça chamado SheldIO no fórum underground de língua russa RAMP.
"Esse ACR stealer oculta seu [comando e controle] com uma técnica de dead drop resolver (DDR) no site da comunidade Steam", Lin disse, destacando sua capacidade de sifonar informações de navegadores web, carteiras cripto, aplicativos de mensagens, clientes FTP, clientes de email, serviços VPN e gerenciadores de senhas.
Vale ressaltar que ataques recentes do Lumma Stealer também foram observados utilizando a mesma técnica, tornando mais fácil para os adversários mudarem os domínios C2 a qualquer momento e tornar a infraestrutura mais resiliente, de acordo com o AhnLab Security Intelligence Center (ASEC).
A divulgação ocorre enquanto a CrowdStrike revelou que atores de ameaças estão se aproveitando da interrupção da semana passada para distribuir um ladrão de informações anteriormente não documentado chamado Daolpu, tornando-o o exemplo mais recente das consequências contínuas decorrentes da atualização defeituosa que incapacitou milhões de dispositivos Windows.
O ataque envolve o uso de um documento Microsoft Word com macros que se disfarça como um manual de recuperação da Microsoft, listando instruções legítimas emitidas pelo fabricante do Windows para resolver o problema, aproveitando-o como um isco para ativar o processo de infecção.
O arquivo DOCM, ao ser aberto, executa a macro para recuperar um segundo arquivo DLL de um remoto que é decodificado para lançar Daolpu, um malware stealer equipado para colher credenciais e cookies do Google Chrome, Microsoft Edge, Mozilla Firefox e outros navegadores baseados em Chromium.
Isso também segue a emergência de novas famílias de malware stealers, como Braodo e DeerStealer, mesmo enquanto os criminosos cibernéticos estão explorando técnicas de malvertising promovendo softwares legítimos como o Microsoft Teams para implantar Atomic Stealer.
"À medida que os criminosos cibernéticos intensificam suas campanhas de distribuição, torna-se mais perigoso baixar aplicações via motores de busca", disse o pesquisador da Malwarebytes, Jérôme Segura.
Os usuários têm que navegar entre malvertising (resultados patrocinados) e envenenamento de SEO (sites comprometidos).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...