Se aprovecha un fallo de SmartScreen para enviar ladrones de información
Según informes recientes de los medios de comunicación, un fallo de SmartScreen en Microsoft Defender que ya ha sido parcheado formaba parte de un nuevo exploit basado en una campaña. El exploit se utilizó para distribuir ladrones de información como ACT stealer, Meduza y Lumma. En este artículo, exploraremos el fallo en detalle, permitiéndole determinar cómo protegerse contra él.
El fallo SmartScreen al detalle
El fallo de SmartScreen está siendo rastreado como CVE-2024-21412 y tiene una puntuación de gravedad de vulnerabilidad crítica (CVSS) de 8,1. La identificación de este fallo se produjo cuando Fortinet FortiGuard Labs descubrió una campaña de robos dirigida a víctimas de Estados Unidos, Tailandia y España.
Los medios de comunicación afirman que las amenazas pueden utilizar esta vulnerabilidad de alta gravedad para eludir la protección SmartScreen. Una vez eludida, podrían desplegar la carga maliciosa. Junto a estos detalles, vale la pena mencionar que Microsoft abordó este problema como parte de sus actualizaciones de seguridad en febrero de 2024.
El investigador de seguridad Cara Lin ha dado más detalles sobre el fallo de SmartScreen:
"Inicialmente, los atacantes atraen a las víctimas para que hagan clic en un enlace crafteado a un archivo URL diseñado para descargar un archivo LNK. A continuación, el archivo LNK descarga un archivo ejecutable que contiene un script".
ACR Stealer, Lumma, y Meduza Stealer
A la hora de desarrollar medidas preventivas contra las amenazas en línea, es esencial que los usuarios comprendan hasta cierto punto la amenaza. En cuanto a la cadena de ataque relacionada con la explotación del fallo SmartScreen, se utiliza un archivo HTA que sirve de conducto para descifrar el código PowerShell.
El propósito de este código es obtener un archivo PDF señuelo y un inyector de shellcode. A continuación, estos activos maliciosos se utilizan como Meduza Stealer o Hijkack Loader para lanzar Lumma o ACT Stealer. Cara Lin comentó las capacidades del ACR Stealer:
"Este ladrón de ACR oculta su [comando y control] con una técnica de resolución de caída muerta (DDR) en el sitio web de la comunidad de Steam".
Recientemente, también se han descubierto ataques Lumma Stealer que utilizan la misma técnica. Dicha técnica garantiza que los actores de amenazas puedan modificar los dominios C2 cuando llevan a cabo sus intenciones maliciosas.
A la vista de la información disponible, se puede afirmar que el uso de técnicas de malvertising en la promoción de soluciones de software se ha convertido en un fenómeno habitual. Los usuarios, inconscientes de los peligros que prevalecen en línea, corren un riesgo considerable de caer presa de tales tácticas.
Jérôme Segura, investigador de Malwarebytes, ha proporcionado detalles sobre estas tácticas:
"A medida que los ciberdelincuentes intensifican sus campañas de distribución, resulta más peligroso descargar aplicaciones a través de los motores de búsqueda. Los usuarios tienen que navegar entre el malvertising (resultados patrocinados) y el envenenamiento SEO (sitios web comprometidos)."
Conclusión
El fallo parcheado de SmartScreen pone de manifiesto la evolución del panorama de las amenazas. Para mitigar los riesgos, los usuarios deben mantenerse alerta, actualizar las medidas de seguridad con regularidad y ser cautelosos con los enlaces sospechosos. La concienciación y la protección proactiva son cruciales para defenderse de los ladrones de información como ACT, Meduza y Lumma.
Las fuentes de esta pieza incluyen artículos en The Hacker News y Security Affairs.