Una reciente campaña de robo de información ha sido descubierta por Fortinet FortiGuard Labs. La campaña, dirigida a España, Tailandia y Estados Unidos, utiliza archivos atrapados que aprovechan una vulnerabilidad en el Microsoft Defender SmartScreen, específicamente el CVE-2024-21412, que tiene una puntuación CVSS de 8.1.
La alta gravedad de esta vulnerabilidad permite a los atacantes eludir la protección de SmartScreen y distribuir cargas maliciosas. Microsoft lanzó una solución para este problema en sus actualizaciones de seguridad mensuales emitidas en febrero de 2024.
Los atacantes inicialmente atraen a las víctimas a hacer clic en un enlace elaborado que lleva a un archivo URL destinado a descargar un archivo LNK. Este archivo descarga un ejecutable que contiene un script de Aplicación HTML. El archivo HTA actúa como un conducto para decodificar y desencriptar el código PowerShell responsable de obtener un archivo PDF señuelo y un inyector de shellcode que, a su vez, conduce a la implementación de Meduza Stealer o Hijack Loader, posteriormente lanzando ACR Stealer o Lumma.
ACR Stealer, una versión evolucionada del GrMsk Stealer, tiene la capacidad de extraer información de navegadores web, billeteras criptográficas, aplicaciones de mensajería, clientes FTP, clientes de correo electrónico, servicios de VPN y gestores de contraseñas. Recientemente, los ataques de Lumma Stealer utilizando la misma técnica han sido observados, lo que facilita que los adversarios cambien los dominios C2 en cualquier momento y hagan la infraestructura más resistente.
Paralelamente, CrowdStrike ha revelado que se están aprovechando interrupciones recientes para distribuir un roba-información llamado Daolpu mediante un documento de Microsoft Word con macros que se hace pasar por un manual de recuperación de Microsoft. El archivo DOCM, al abrirse, ejecuta la macro para recuperar un archivo DLL de segunda etapa de un sitio remoto, lanzando Daolpu, un roba-información diseñado para cosechar credenciales y cookies de varios navegadores.
Estos incidentes subrayan la importancia de vigilar de cerca la seguridad cibernética y estar al tanto de las técnicas cambiantes utilizadas por los ciberdelincuentes para distribuir malware.
Vía The Hacker News
La entrada Vulnerabilidad en Microsoft Defender permite la distribución de ACR, Lumma y Meduza Stealers se publicó primero en News Bender Daily.