(https://i.postimg.cc/sXJ143JX/Stealer-Cat.png) (https://postimages.org/)
Los investigadores de Fortinet FortiGuard Labs observaron una campaña de malware que explotaba la vulnerabilidad CVE-2024-21412 ( puntuación CVSS: 8,1 ) para difundir ladrones de información (stealers), como ACR Stealer, Lumma y Meduza.
CVE-2024-21412 es una vulnerabilidad de omisión de la característica de seguridad de archivos de acceso directo a Internet.
La falla reside en Microsoft Windows SmartScreen y es causada por un manejo inadecuado de archivos creados con fines malintencionados. Un atacante no autenticado puede desencadenar la falla enviando a la víctima un archivo especialmente diseñado para eludir los controles de seguridad mostrados. El atacante tiene que engañar a las víctimas para que hagan clic en el enlace del archivo.
La falla fue reportada por:
Peter Girnus (gothburz) de la Iniciativa Día Cero de Trend Micro con Trend Micro
dwbzn con Aura Information Security
Dima Lenz y Vlad Stolyarov del grupo de análisis de amenazas de Google
Microsoft solucionó la falla con el lanzamiento de las actualizaciones de seguridad del martes de parches para febrero de 2024. Fortinet informó que la campaña de ladrones se dirigió a España, Tailandia y Estados Unidos con archivos trampa.
"FortiGuard Labs ha observado una campaña de ladrones que difunde múltiples archivos que aprovechan CVE-2024-21412 para descargar archivos ejecutables maliciosos. Inicialmente, los atacantes atraen a las víctimas para que hagan clic en un enlace manipulado a un archivo URL diseñado para descargar un archivo LNK. Luego, el archivo LNK descarga un archivo ejecutable que contiene un script HTA. Una vez ejecutado, el script decodifica y descifra el código PowerShell para recuperar las URL finales, archivos PDF señuelo y un inyector de código shell malicioso. Estos archivos tienen como objetivo inyectar al ladrón final en procesos legítimos, iniciando actividades maliciosas y enviando los datos robados a un servidor C2". "Los actores de amenazas han diseñado diferentes inyectores para evadir la detección y utilizan varios archivos PDF para apuntar a regiones específicas, incluidas América del Norte, España y Tailandia".
(https://i.postimg.cc/Hj1dfzVX/Stealer.png) (https://postimages.org/)
Durante la investigación, los investigadores detectaron múltiples archivos LNK que se utilizaron para descargar ejecutables similares que contenían un script HTA integrado. El script HTA ejecutó código malicioso adicional y descarga dos archivos, un PDF señuelo diseñado para desviar la atención de la víctima y un archivo de ejecución que inyecta código shell para las etapas posteriores del ataque.
Los investigadores identificaron dos tipos de inyectores. La primera variante descarga un código shell de un archivo de imagen alojado en Imghippo, que tiene bajas tasas de detección en VirusTotal. El código de shell se extrae de los píxeles de la imagen utilizando la API de Windows "GdipBitmapGetPixel" y luego se ejecuta. Este código recupera las API necesarias, crea una carpeta y coloca archivos en el directorio "%TEMP%", incluido un HijackLoader, indicado por patrones de bytes específicos en los datos.
El segundo inyector simplemente descifra su código de una sección de datos y utiliza varias funciones API de Windows como NtCreateSection, NtMapViewOfSection y NtProtectVirtualMemory para inyectar el código de shell en el sistema. Este enfoque facilita la ejecución de cargas útiles maliciosas mediante la manipulación de secciones de memoria y sus protecciones.
Fortinet observó a los actores de amenazas difundiendo Meduza Stealer versión 2.9, un ladrón de ACR entregado a través de HijackLoader que emplea una técnica de "resolución de caída muerta" para ocultar el servidor C2 en un perfil de la comunidad Steam.
"Para mitigar dichas amenazas, las organizaciones deben educar a sus usuarios sobre los peligros de descargar y ejecutar archivos de fuentes no verificadas. La innovación continua por parte de los actores de amenazas requiere una estrategia de ciberseguridad sólida y proactiva para protegerse contra vectores de ataque sofisticados". concluye el informe. "Las medidas proactivas, la concienciación de los usuarios y los estrictos protocolos de seguridad son componentes vitales para salvaguardar los activos digitales de una organización".
Fuente:
SecurityAffairs
https://securityaffairs.com/166152/security/cve-2024-21412-flaw-info-stealers.html