تم استغلال خلل Microsoft Defender لتسليم ACR وLumma وMeduza Stealers
تم استغلال ثغرة أمنية تم تصحيحها الآن في Microsoft Defender SmartScreen كجزء من حملة جديدة مصممة لتقديم سارقي المعلومات مثل ACR Stealer وLumma وMeduza.
قالت Fortinet FortiGuard Labs إنها اكتشفت حملة السرقة التي تستهدف إسبانيا وتايلاند والولايات المتحدة باستخدام ملفات مفخخة تستغل CVE-2024-21412 (درجة CVSS: 8.1).
تسمح الثغرة الأمنية عالية الخطورة للمهاجم بتجاوز حماية SmartScreen وإسقاط الحمولات الضارة. عالجت Microsoft هذه المشكلة كجزء من تحديثاتها الأمنية الشهرية التي تم إصدارها في فبراير 2024.
“في البداية، يقوم المهاجمون بإغراء الضحايا بالنقر على رابط معد لملف URL مصمم لتنزيل ملف LNK،” كما تقول الباحثة الأمنية كارا لين. قال. “يقوم ملف LNK بعد ذلك بتنزيل ملف قابل للتنفيذ يحتوي على ملف [HTML Application] النصي.”
يعمل ملف HTA كقناة لفك تشفير وفك تشفير كود PowerShell المسؤول عن جلب ملف PDF مزيف وحاقن كود القشرة الذي بدوره يؤدي إما إلى نشر Meduza Stealer أو Hijack Loader، والذي يقوم فيما بعد بتشغيل ACR Stealer أو Lumma.
سارق ACR, تقييم ليكون نسخة مطورة من GrMsk Stealer، تم الإعلان عنه في أواخر مارس 2024 من قبل ممثل تهديد يُدعى SheldIO في المنتدى السري باللغة الروسية RAMP.
“يخفي سارق ACR هذا [command-and-control] قال لين: “من خلال تقنية محلل السقوط الميت (DDR) على موقع مجتمع Steam”، مشيراً إلى قدرتها على سحب المعلومات من متصفحات الويب ومحافظ التشفير وتطبيقات المراسلة وعملاء FTP وعملاء البريد الإلكتروني وخدمات VPN ومديري كلمات المرور.
تجدر الإشارة إلى أن هجمات Lumma Stealer الأخيرة تمت ملاحظتها أيضًا باستخدام نفس التقنية، مما يسهل على الخصوم تغيير نطاقات C2 في أي وقت وجعل البنية التحتية أكثر مرونة. حسب إلى مركز الاستخبارات الأمنية AhnLab (ASEC).
ويأتي الكشف كما فعلت CrowdStrike مكشوف أن الجهات الفاعلة في مجال التهديد تستفيد من انقطاع التيار الكهربائي الأسبوع الماضي لتوزيع برنامج سرقة معلومات غير موثق سابقًا يسمى Daolpu، مما يجعله أحدث مثال على الهجوم. تداعيات مستمرة ناجمة عن التحديث الخاطئ الذي أدى إلى شل الملايين من أجهزة Windows.
يتضمن الهجوم استخدام مستند Microsoft Word مختلط بالماكرو والذي يتنكر في شكل قائمة دليل استرداد Microsoft تعليمات شرعية تم إصداره بواسطة الشركة المصنعة لنظام Windows لحل المشكلة، والاستفادة منه كخدعة لتنشيط عملية الإصابة.
ال ملف دوكم، عند فتحه، يقوم بتشغيل الماكرو لاسترداد ملف DLL للمرحلة الثانية من جهاز التحكم عن بعد الذي تم فك تشفيره لتشغيل Daolpu، وهو برنامج ضار سرقة مجهز لجمع بيانات الاعتماد وملفات تعريف الارتباط من Google Chrome وMicrosoft Edge وMozilla Firefox والمتصفحات الأخرى المستندة إلى Chromium.
ويتبع أيضًا ظهور عائلات البرمجيات الخبيثة الجديدة للسرقة مثل Braodo وDeerStealer، حتى مع قيام مجرمي الإنترنت باستغلال تقنيات الإعلانات الضارة التي تروج لبرامج شرعية مثل Microsoft Teams لنشر Atomic Stealer.
“مع قيام مجرمي الإنترنت بتكثيف حملات التوزيع، أصبح تنزيل التطبيقات عبر محركات البحث أكثر خطورة،” الباحث في Malwarebytes جيروم سيغورا قال. “يجب على المستخدمين التنقل بين الإعلانات الضارة (النتائج الدعائية) وتسميم تحسين محركات البحث (مواقع الويب المخترقة).”
إرسال التعليق