Microsoft Defender SmartScreen 中现已修补的安全漏洞已被利用,作为旨在提供 ACR Stealer、Lumma 和 Meduza 等信息窃取程序的新活动的一部分。Fortinet FortiGuard Labs 表示,它检测到针对西班牙、泰国和美国的窃取活动,该活动使用利用 CVE-2024-21412 的诱杀文件(CVSS 评分:8.1)。高严重性漏洞使得攻击者能够绕过 SmartScreen 保护并丢弃恶意负载。Microsoft 在 2024 年 2 月发布的月度安全更新中解决了这个问题。“最初,攻击者引诱受害者点击一个精心制作的链接,指向一个旨在下载LNK文件的URL文件,”安全研究员Cara Lin说。“然后,LNK 文件会下载一个包含 [HTML 应用程序] 脚本的可执行文件。”HTA 文件用作解码和解密 PowerShell 代码的管道,该代码负责获取诱饵 PDF 文件和 shellcode 注入器,这反过来又导致部署 Meduza Stealer 或 Hijack Loader,随后启动 ACR Stealer 或 Lumma。ACR Stealer 被评估为 GrMsk Stealer 的进化版本,于 2024 年 3 月下旬由一个名为 SheldIO 的威胁行为者在俄语地下论坛 RAMP 上做广告。“这个ACR窃取者在Steam社区网站上用死掉解析器(DDR)技术隐藏了它的[命令和控制],”Lin说,并称它能够从网络浏览器、加密钱包、消息传递应用程序、FTP客户端、电子邮件客户端、VPN服务和密码管理器中窃取信息。值得注意的是,根据 AhnLab 安全情报中心 (ASEC) 的说法,最近还观察到了使用相同技术的 Lumma Stealer 攻击,使对手更容易随时更改 C2 域并使基础设施更具弹性。CrowdStrike透露,威胁行为者正在利用上周的中断来分发一个名为Daolpu的以前未记录的信息窃取程序,使其成为导致数百万Windows设备瘫痪的错误更新导致的持续影响的最新例子。该攻击涉及使用带有宏的 Microsoft Word 文档,该文档伪装成 Microsoft 恢复手册,列出了 Windows 制造商为解决问题而发布的合法指令,并利用它作为诱饵来激活感染过程。DOCM文件在打开时,运行宏以从远程中检索第二阶段DLL文件,该远程器被解码以启动Daolpu,这是一种窃取恶意软件,可从Google Chrome,Microsoft Edge,Mozilla Firefox和其他基于Chromium的浏览器中收集凭据和cookie。它还遵循Braodo和DeerStealer等新的窃取恶意软件系列的出现,即使网络犯罪分子正在利用恶意广告技术推广合法软件(如Microsoft Teams)来部署Atomic Stealer。“随着网络犯罪分子加大他们的分发活动,通过搜索引擎下载应用程序变得更加危险,”Malwarebytes研究员JérômeSegura说。“用户必须在恶意广告(赞助结果)和SEO中毒(受感染的网站)之间导航。”
