Киберпреступники постоянно ищут способы использовать уязвимость в Microsoft Defender SmartScreen для доставки различных видов вредоносного ПО и инфостилеров. FortiGuard Labs сообщают о новой кампании, нацеленной на жертв в Испании, Таиланде и США с целью распространения ARC Stealer, Lumma и Meduza.
Уязвимость позволяет атакующим обходить Windows Defender SmartScreen — функцию безопасности, интегрированную в операционные системы Windows и предназначенную для защиты пользователей от онлайн-угроз.
Lumma и Meduza Stealer
Исследователи объясняют: «Изначально атакующие заманивают жертв нажатием на ссылку, указывающую на URL файл, предназначенный для загрузки LNK файла. Этот LNK файл затем загружает исполняемый файл, содержащий сценарий HTML-приложения.»
Вредоносная активность отслеживается как CVE-2024-21412, с уровнем опасности 8.1. Исследователи предупреждают об этом с середины февраля этого года. В то время специалисты из Trend Micro заявили, что видели, как хакерская группа Water Hydra (DarkCasino) использует эту уязвимость для атак на криптотрейдеров накануне Нового года.
Эксперты Trend Micro объясняли: «Мы заключили, что вызов ярлыка внутри другого ярлыка был достаточным для обхода SmartScreen, который некорректно применял метку Mark-of-the-Web (MotW), критический компонент Windows, предупреждающий пользователей при открытии или запуске файлов из ненадежного источника.»
В начале июля 2024 года исследователи из Cyble также выпустили предупреждение о том, что уязвимость используется для развёртывания вредоносного ПО, и призвали пользователей немедленно установить исправление, так как Microsoft устранила уязвимость 13 февраля 2024 года.
Первоначально уязвимость использовалась для загрузки DarkGate, но в новых кампаниях злоумышленники выбрали ARC Stealer, Lumma и Meduza. Это относительно популярные инфостилеры, способные похищать чувствительные файлы, учетные данные, данные из криптокошельков, скриншоты и многое другое.
Источник: The Hacker News
Источник: TechRadar
