Güvenlik araştırmacıları, Microsoft Defender SmartScreen’deki yüksek öneme sahip bir güvenlik açığının İspanya, Tayland ve ABD’de bilgi çalan kötü amaçlı yazılımları dağıtmak için kullanıldığını söylüyor. Araştırmacılar, güvenlik açığını istismar etmek ve ACR Stealer, Lumma ve Meduza gibi bilgi çalan yazılımları dağıtmak için tuzaklı dosyalar kullanan hırsız kampanyasını keşfetti.
Fortinet FortiGuard Labs, son hırsız kampanyasını, kötü amaçlı yazılımları hedef bilgisayarlara indirmek için Microsoft Defender’ın SmartScreen’ini atlatabilen birden fazla dosya yayarken gözlemledi. Güvenlik açığı CVE-2024-21412’de ele alındı.
Microsoft bu güvenlik açığını Şubat 2024’te yayınlanan bir güncellemeyle kapattığından beri, haber güvenlik güncellemelerini derhal yüklemenin önemini vurguluyor. Açıklama, kötü amaçlı yazılım dağıtmak için de kullanılan CrowdStrike kesintisinin hemen ardından geldi: CrowdStrike ortaya çıktı Tehdit aktörlerinin daha önce belgelenmemiş Daolpu adlı bir hırsızı ele geçiren sahte bir kurtarma kılavuzu sunduğu iddia ediliyor.
Güvenlik araştırmacısı Cara Lin şunları söyledi:aracılığıyla Hacker News) saldırganların “kurbanları, bir LNK dosyasını indirmek için tasarlanmış bir URL dosyasına tıklamaya ikna ettiğini” söylüyor. LNK dosyası indirildikten ve açıldıktan sonra, bir HTML Uygulaması (HTA) betiği içeren yürütülebilir bir dosya indiriliyor.
Daha sonra, HTA, bir kabuk kod enjektörüyle birlikte sahte PDF dosyalarını alan gizlenmiş PowerShell kodunu çözer ve şifresini çözer. Bu kabuk kod enjektörü daha sonra kötü amaçlı yazılımı dağıtır ve başlatır. Kötü amaçlı yazılım, popüler bir oyun hizmeti olan Steam topluluk web sitesindeki bir dead drop çözücü aracılığıyla web tarayıcılarından, kripto cüzdanlarından, mesajlaşma uygulamalarından, FTP ve e-posta istemcilerinden, VPN hizmetlerinden ve parola yöneticilerinden bilgi iletir.
ACR Stealer, çok çeşitli popüler uygulamaları hedef alır. Bunlar arasında Google Chrome, Epic Privacy Browser, Vivaldi, Microsoft Edge, Opera ve Mozilla Firefox’un birden fazla sürümü bulunur. Ayrıca Telegram, Pidgin, Signal, Tox, Psi, Psi+ ve WhatsApp gibi mesajlaşma uygulamalarını ve çok sayıda FTP istemcisini hedefler.
VPN hizmetleri NordVPN ve AzireVPN de hedef alındı, parola yöneticileri Bitwarden, NordPass, 1Password ve RoboForm da hedef alındı. Parola yöneticisinden ele geçirilen veriler şifrelenmeli olsa da, hassas verilerin bunlardan çekilmesi riski hala mevcuttur. Fortinet, bilinen hedef yazılımların tam bir listesine sahiptir hırsız kampanyasının analizi.
Yine, Microsoft Defender SmartScreen güvenlik açığı Şubat 2024 güvenlik güncellemesinde düzeltildi. Ancak, bir kuruluş bu tür güncellemeleri düzenli olarak yüklemezse, tehdide karşı savunmasız kalır.