Μια ευπάθεια στο Microsoft Defender SmartScreen, η οποία έχει πλέον επιδιορθωθεί, αξιοποιήθηκε από μια νέα κακόβουλη εκστρατεία που στοχεύει στην εγκατάσταση info-stealer όπως το ACR Stealer, το Lumma και το Meduza.
Σύμφωνα με την Fortinet FortiGuard Labs, η εκστρατεία αυτή στόχευε την Ισπανία, την Ταϊλάνδη και τις ΗΠΑ, χρησιμοποιώντας αρχεία με κακόβουλο κώδικα που εκμεταλλεύονταν την ευπάθεια CVE-2024-21412 (βαθμολογία CVSS: 8,1).
Η ευπάθεια αυτή επιτρέπει σε χάκερς να παρακάμψουν την προστασία του SmartScreen και να εκτελέσουν κακόβουλα ωφέλιμα φορτία. Η Microsoft διόρθωσε το ζήτημα ως μέρος των μηνιαίων ενημερώσεων ασφαλείας του Φεβρουαρίου 2024.
Δείτε ακόμη: Cisco: Ευπάθεια επιτρέπει προσθήκη root users σε συσκευές SEG
Αρχικά, οι χάκερς παρασύρουν τα θύματα να κάνουν κλικ σε έναν τροποποιημένο σύνδεσμο προς ένα αρχείο URL, το οποίο είναι σχεδιασμένο να κατεβάζει ένα αρχείο LNK,” δήλωσε η ερευνήτρια ασφαλείας Cara Lin. “Το αρχείο LNK στη συνέχεια κατεβάζει ένα εκτελέσιμο αρχείο που περιέχει ένα σενάριο [HTML Application].”
Το αρχείο HTA λειτουργεί ως αγωγός για την αποκωδικοποίηση και αποκρυπτογράφηση του PowerShell code, ο οποίος ανακτά ένα αρχείο PDF και έναν κώδικα ένεσης. Στη συνέχεια, εγκαθιστά είτε το Meduza Stealer είτε το Hijack Loader, που με τη σειρά τους εκκινούν το ACR Stealer ή το Lumma.
Το ACR Stealer, μια εξελιγμένη έκδοση του GrMsk Stealer, εμφανίστηκε στα τέλη Μαρτίου 2024 από έναν απειλητικό παράγοντα με το όνομα SheldIO στο ρωσόφωνο υπόγειο φόρουμ RAMP.
“Ο ACR Stealer χρησιμοποιεί μια τεχνική DDR για να αποφεύγει τον εντοπισμό, κρύβοντας την εντολή και τον έλεγχο του στο ιστότοπο της κοινότητας Steam,” σημείωσε ο Lin, επισημαίνοντας την ικανότητά του να συλλέγει πληροφορίες από web προγράμματα, πορτοφόλια κρυπτογράφησης, εφαρμογές ανταλλαγής μηνυμάτων, πελάτες FTP, προγράμματα-πελάτες email, υπηρεσίες VPN και διαχειριστές κωδικών πρόσβασης.
Αξίζει να σημειωθεί ότι πρόσφατες επιθέσεις Lumma Stealer έχουν παρατηρηθεί να χρησιμοποιούν την ίδια τεχνική, επιτρέποντας στους χάκερς να αλλάζουν τους τομείς C2 ανά πάσα στιγμή και να καθιστούν την υποδομή πιο ανθεκτική, σύμφωνα με το AhnLab Security Intelligence Center (ASEC).
Η ενημέρωση αυτή δημοσιοποιήθηκε αφού η CrowdStrike ανέδειξε ότι οι παράγοντες απειλών εκμεταλλεύονται την πρόσφατη διακοπή για να διανείμουν έναν παλιό info-stealer, ονόματι Daolpu, που δεν είχε τεκμηριωθεί, επισημαίνοτνας τις συνεχιζόμενες επιπτώσεις της ελαττωματικής ενημέρωσης που έχει θέσει εκτός λειτουργίας εκατομμύρια συσκευές Windows.
Η επίθεση περιλαμβάνει τη χρήση ενός εγγράφου Microsoft Word με μακροεντολές, μεταμφιεσμένο σε εγχειρίδιο αποκατάστασης της Microsoft, που περιέχει νόμιμες οδηγίες για την επίλυση του προβλήματος. Το έγγραφο χρησιμοποιείται ως δόλωμα για την ενεργοποίηση της διαδικασίας μόλυνσης.
Όταν ανοίγει το αρχείο DOCM, εκτελείται μια μακροεντολή που ανακτά ένα αρχείο DLL δεύτερου σταδίου από ένα απομακρυσμένο server, το οποίο στη συνέχεια εκτελεί το Daolpu, ένα κακόβουλο λογισμικό σχεδιασμένο να συλλέγει διαπιστευτήρια και cookies από Google Chrome, Microsoft Edge, Mozilla Firefox και άλλα προγράμματα περιήγησης βασισμένα στο Chromium.
Η εμφάνιση νέων οικογενειών κακόβουλου λογισμικού κλοπής, όπως το Braodo και το DeerStealer, συνδυάζεται με τεχνικές κακόβουλης διαφήμισης που προωθούν νόμιμο λογισμικό, όπως το Microsoft Teams, για την ανάπτυξη του Atomic Stealer.
Διαβάστε επίσης: Κρίσιμη ευπάθεια στο Apache HugeGraph – Ενημερώστε ASAP!
«Καθώς οι εγκληματίες του κυβερνοχώρου εντείνουν τις καμπάνιες διανομής τους, γίνεται πιο επικίνδυνο να κατεβάζουν εφαρμογές μέσω μηχανών αναζήτησης», δήλωσε ο ερευνητής της Malwarebytes, Jérôme Segura. «Οι χρήστες πρέπει να πλοηγηθούν ανάμεσα σε κακή διαφήμιση (χορηγούμενα αποτελέσματα) και SEO poisoning (παραβιασμένοι ιστότοποι).».
Πηγή: thehackernews
