ClickCease El fallo de SmartScreen se aprovecha para enviar ladrones de información - TuxCare

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Se aprovecha un fallo de SmartScreen para enviar ladrones de información

Wajahat Raja

6 de agosto de 2024 - Equipo de expertos TuxCare

Según informes recientes de los medios de comunicación, un fallo de SmartScreen en Microsoft Defender que ya ha sido parcheado formaba parte de un nuevo exploit basado en una campaña. El exploit se utilizó para distribuir ladrones de información como ACT stealer, Meduza y Lumma. En este artículo, exploraremos el fallo en detalle, permitiéndole determinar cómo protegerse contra él.

El fallo SmartScreen al detalle

El fallo de SmartScreen está siendo rastreado como CVE-2024-21412 y tiene una puntuación de gravedad de vulnerabilidad crítica (CVSS) de 8,1. La identificación de este fallo se produjo cuando Fortinet FortiGuard Labs descubrió una campaña de robos dirigida a víctimas de Estados Unidos, Tailandia y España.

Los medios de comunicación afirman que las amenazas pueden utilizar esta vulnerabilidad de alta gravedad para eludir la protección SmartScreen. Una vez eludida, podrían desplegar la carga maliciosa. Junto a estos detalles, vale la pena mencionar que Microsoft abordó este problema como parte de sus actualizaciones de seguridad en febrero de 2024.

El investigador de seguridad Cara Lin ha dado más detalles sobre el fallo de SmartScreen:

"Inicialmente, los atacantes atraen a las víctimas para que hagan clic en un enlace crafteado a un archivo URL diseñado para descargar un archivo LNK. A continuación, el archivo LNK descarga un archivo ejecutable que contiene un script".

ACR Stealer, Lumma, y Meduza Stealer

A la hora de desarrollar medidas preventivas contra las amenazas en línea, es esencial que los usuarios comprendan hasta cierto punto la amenaza. En cuanto a la cadena de ataque relacionada con la explotación del fallo SmartScreen, se utiliza un archivo HTA que sirve de conducto para descifrar el código PowerShell.

El propósito de este código es obtener un archivo PDF señuelo y un inyector de shellcode. A continuación, estos activos maliciosos se utilizan como Meduza Stealer o Hijkack Loader para lanzar Lumma o ACT Stealer. Cara Lin comentó las capacidades del ACR Stealer:

"Este ladrón de ACR oculta su [comando y control] con una técnica de resolución de caída muerta (DDR) en el sitio web de la comunidad de Steam".

Recientemente, también se han descubierto ataques Lumma Stealer que utilizan la misma técnica. Dicha técnica garantiza que los actores de amenazas puedan modificar los dominios C2 cuando llevan a cabo sus intenciones maliciosas.

A la vista de la información disponible, se puede afirmar que el uso de técnicas de malvertising en la promoción de soluciones de software se ha convertido en un fenómeno habitual. Los usuarios, inconscientes de los peligros que prevalecen en línea, corren un riesgo considerable de caer presa de tales tácticas.

Jérôme Segura, investigador de Malwarebytes, ha proporcionado detalles sobre estas tácticas:

"A medida que los ciberdelincuentes intensifican sus campañas de distribución, resulta más peligroso descargar aplicaciones a través de los motores de búsqueda. Los usuarios tienen que navegar entre el malvertising (resultados patrocinados) y el envenenamiento SEO (sitios web comprometidos)."

Conclusión

El fallo parcheado de SmartScreen pone de manifiesto la evolución del panorama de las amenazas. Para mitigar los riesgos, los usuarios deben mantenerse alerta, actualizar las medidas de seguridad con regularidad y ser cautelosos con los enlaces sospechosos. La concienciación y la protección proactiva son cruciales para defenderse de los ladrones de información como ACT, Meduza y Lumma.

Las fuentes de esta pieza incluyen artículos en The Hacker News y Security Affairs.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín