Uma falha de segurança corrigida no Microsoft Defender SmartScreen foi explorada como parte de uma nova campanha projetada para entregar ladrões de informações como ACR Stealer, Lumma e Meduza.
A Fortinet FortiGuard Labs disse que detectou uma campanha de roubo de dados direcionada à Espanha, Tailândia e EUA usando arquivos com armadilhas que exploram o CVE-2024-21412 (pontuação CVSS: 8,1).
A vulnerabilidade de alta gravidade permite que um invasor contorne a proteção do SmartScreen e lance payloads maliciosos. A Microsoft abordou esse problema como parte de suas atualizações mensais de segurança lançadas em fevereiro de 2024.
“Inicialmente, os invasores atraem as vítimas para clicar em um hyperlink criado para um arquivo URL projetado para baixar um arquivo LNK”, disse a pesquisadora de segurança Cara Lin. “O arquivo LNK então baixa um arquivo executável contendo um script (HTML Software)”.
O arquivo HTA serve como um canal para decodificar e descriptografar o código do PowerShell responsável por buscar um arquivo PDF falso e um injetor de shellcode que, por sua vez, leva à implantação do Meduza Stealer ou Hijack Loader, que posteriormente inicia o ACR Stealer ou Lumma.
O ACR Stealer, considerado uma versão evoluída do GrMsk Stealer, foi anunciado no closing de março de 2024 por um agente de ameaças chamado SheldIO no fórum underground de língua russa RAMP.
“Este ladrão de ACR esconde sua técnica (de comando e controle) com um useless drop resolver (DDR) no website da comunidade Steam”, disse Lin, destacando sua capacidade de desviar informações de navegadores da internet, carteiras de criptomoedas, aplicativos de mensagens, clientes FTP, clientes de e-mail, serviços VPN e gerenciadores de senhas.
Vale ressaltar que ataques recentes do Lumma Stealer também foram observados utilizando a mesma técnica, tornando mais fácil para os adversários alterar os domínios C2 a qualquer momento e tornando a infraestrutura mais resiliente, de acordo com o AhnLab Safety Intelligence Middle (ASEC).
A divulgação ocorre no momento em que a CrowdStrike revelou que os agentes de ameaças estão aproveitando a interrupção da semana passada para distribuir um ladrão de informações não documentado chamado Daolpu, tornando-se o exemplo mais recente das consequências contínuas decorrentes da atualização defeituosa que paralisou milhões de dispositivos Home windows.
O ataque envolve o uso de um documento do Microsoft Phrase com macros que se disfarça como um guide de recuperação da Microsoft listando instruções legítimas emitidas pelo fabricante do Home windows para resolver o problema, usando-o como uma isca para ativar o processo de infecção.
O arquivo DOCM, quando aberto, executa a macro para recuperar um arquivo DLL de segundo estágio de um controle remoto que é decodificado para iniciar o Daolpu, um malware ladrão equipado para coletar credenciais e cookies do Google Chrome, Microsoft Edge, Mozilla Firefox e outros navegadores baseados no Chromium.
Isso também acompanha o surgimento de novas famílias de malware stealer, como Braodo e DeerStealer, ao mesmo tempo em que criminosos cibernéticos estão explorando técnicas de malvertising promovendo softwares legítimos, como o Microsoft Groups, para implantar o Atomic Stealer.
“À medida que os criminosos cibernéticos aumentam suas campanhas de distribuição, fica mais perigoso baixar aplicativos por meio de mecanismos de busca”, disse o pesquisador da Malwarebytes, Jérôme Segura. “Os usuários precisam navegar entre malvertising (resultados patrocinados) e envenenamento de search engine optimization (websites comprometidos).”
