24 de julio de 2024Sala de prensaMalvertising / Inteligencia de amenazas Una falla de seguridad ahora parcheada en Microsoft Defender SmartScreen se ha explotado como parte de una nueva campaña diseñada para entregar ladrones de información como ACR Stealer, Lumma y Meduza. Fortinet FortiGuard Labs dijo que detectó la campaña de robo dirigida a España, Tailandia y los EE. UU. utilizando archivos trampa que explotan CVE-2024-21412 (puntuación CVSS: 8,1). La vulnerabilidad de alta gravedad permite a un atacante eludir la protección SmartScreen y soltar cargas útiles maliciosas. Microsoft abordó este problema como parte de sus actualizaciones de seguridad mensuales publicadas en febrero de 2024. «Inicialmente, los atacantes atraen a las víctimas para que hagan clic en un enlace diseñado a un archivo URL diseñado para descargar un archivo LNK», dijo la investigadora de seguridad Cara Lin. «El archivo LNK luego descarga un archivo ejecutable que contiene un [HTML Application] El archivo HTA sirve como conducto para decodificar y descifrar el código de PowerShell responsable de obtener un archivo PDF señuelo y un inyector de shellcode que, a su vez, conduce a la implementación de Meduza Stealer o Hijack Loader, que posteriormente lanza ACR Stealer o Lumma. ACR Stealer, evaluado como una versión evolucionada de GrMsk Stealer, fue anunciado a fines de marzo de 2024 por un actor de amenazas llamado SheldIO en el foro clandestino en idioma ruso RAMP. «Este ladrón de ACR oculta su [command-and-control] «Con una técnica de resolución de punto muerto (DDR) en el sitio web de la comunidad Steam», dijo Lin, destacando su capacidad para extraer información de navegadores web, billeteras criptográficas, aplicaciones de mensajería, clientes FTP, clientes de correo electrónico, servicios VPN y administradores de contraseñas. Vale la pena señalar que también se han observado ataques recientes de Lumma Stealer utilizando la misma técnica, lo que facilita que los adversarios cambien los dominios C2 en cualquier momento y hagan que la infraestructura sea más resistente, según el Centro de Inteligencia de Seguridad AhnLab (ASEC). La revelación se produce cuando CrowdStrike ha revelado que los actores de amenazas están aprovechando la interrupción de la semana pasada para distribuir un ladrón de información previamente no documentado llamado Daolpu, lo que lo convierte en el último ejemplo de las consecuencias en curso derivadas de la actualización defectuosa que ha paralizado millones de dispositivos Windows. El ataque implica el uso de un documento de Microsoft Word con macros que se hace pasar por un manual de recuperación de Microsoft que enumera instrucciones legítimas emitidas por el fabricante de Windows para resolver el problema, aprovechándolo como señuelo para activar el proceso de infección. El archivo DOCM, cuando se abre, ejecuta la macro para recuperar un archivo DLL de segunda etapa de un control remoto que se decodifica para iniciar Daolpu, un malware ladrón equipado para recolectar credenciales y cookies de Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores basados ​​en Chromium. También sigue la aparición de nuevas familias de malware ladrón como Braodo y DeerStealer, incluso cuando los cibercriminales están explotando técnicas de publicidad maliciosa que promocionan software legítimo como Microsoft Teams para implementar Atomic Stealer. «A medida que los cibercriminales intensifican sus campañas de distribución, se vuelve más peligroso descargar aplicaciones a través de motores de búsqueda», dijo el investigador de Malwarebytes Jérôme Segura. «Los usuarios tienen que navegar entre la publicidad maliciosa (resultados patrocinados) y el envenenamiento SEO (sitios web comprometidos)». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.