{"id":1289335,"date":"2024-07-24T09:15:26","date_gmt":"2024-07-24T09:15:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/se-explota-una-falla-de-microsoft-defender-para-distribuir-ladrones-de-acr-lumma-y-meduza\/"},"modified":"2024-07-24T09:15:30","modified_gmt":"2024-07-24T09:15:30","slug":"se-explota-una-falla-de-microsoft-defender-para-distribuir-ladrones-de-acr-lumma-y-meduza","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/se-explota-una-falla-de-microsoft-defender-para-distribuir-ladrones-de-acr-lumma-y-meduza\/","title":{"rendered":"Se explota una falla de Microsoft Defender para distribuir ladrones de ACR, Lumma y Meduza"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>24 de julio de 2024<\/span>\ue804<\/i>Sala de prensa<\/span><\/span>Malvertising \/ Inteligencia de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una falla de seguridad ahora parcheada en Microsoft Defender SmartScreen ha sido explotada como parte de una nueva campa\u00f1a dise\u00f1ada para distribuir ladrones de informaci\u00f3n como ACR Stealer, Lumma y Meduza.<\/p>\n

Fortinet FortiGuard Labs afirm\u00f3 haber detectado una campa\u00f1a de robo dirigida a Espa\u00f1a, Tailandia y Estados Unidos que utiliza archivos con trampa que explotan CVE-2024-21412 (puntuaci\u00f3n CVSS: 8,1).<\/p>\n

La vulnerabilidad de alta gravedad permite a un atacante eludir la protecci\u00f3n SmartScreen y lanzar cargas maliciosas. Microsoft abord\u00f3 este problema como parte de sus actualizaciones de seguridad mensuales publicadas en febrero de 2024.<\/p>\n

“Inicialmente, los atacantes atraen a las v\u00edctimas para que hagan clic en un enlace dise\u00f1ado para descargar un archivo LNK”, dijo la investigadora de seguridad Cara Lin. dicho<\/a>. “El archivo LNK luego descarga un archivo ejecutable que contiene un [HTML Application] guion.”<\/p>\n

\"La<\/a><\/center><\/section>\n

El archivo HTA sirve como conducto para decodificar y descifrar el c\u00f3digo de PowerShell responsable de obtener un archivo PDF se\u00f1uelo y un inyector de shellcode que, a su vez, conduce a la implementaci\u00f3n de Meduza Stealer o Hijack Loader, que posteriormente lanza ACR Stealer o Lumma.<\/p>\n

Ladr\u00f3n de ACR, juzgado<\/a> que se trataba de una versi\u00f3n evolucionada del GrMsk Stealer, fue anunciado a fines de marzo de 2024 por un actor de amenazas llamado SheldIO en el foro clandestino en idioma ruso RAMP.<\/p>\n

“Este ladr\u00f3n de ACR esconde su [command-and-control] “con una t\u00e9cnica de resoluci\u00f3n de punto muerto (DDR) en el sitio web de la comunidad Steam”, dijo Lin, destacando su capacidad para extraer informaci\u00f3n de navegadores web, billeteras de criptomonedas, aplicaciones de mensajer\u00eda, clientes FTP, clientes de correo electr\u00f3nico, servicios VPN y administradores de contrase\u00f1as.<\/p>\n

\"Ladrones<\/a><\/div>\n

Vale la pena se\u00f1alar que tambi\u00e9n se han observado ataques recientes de Lumma Stealer que utilizan la misma t\u00e9cnica, lo que facilita que los adversarios cambien los dominios C2 en cualquier momento y hagan que la infraestructura sea m\u00e1s resistente. de acuerdo a<\/a> al Centro de Inteligencia de Seguridad de AhnLab (ASEC).<\/p>\n

La revelaci\u00f3n se produce cuando CrowdStrike ha… revel\u00f3<\/a> que los actores de amenazas est\u00e1n aprovechando la interrupci\u00f3n de la semana pasada para distribuir un ladr\u00f3n de informaci\u00f3n previamente no documentado llamado Daolpu, lo que lo convierte en el \u00faltimo ejemplo de consecuencias continuas<\/a> derivado de la actualizaci\u00f3n defectuosa que ha paralizado millones de dispositivos Windows.<\/p>\n

El ataque implica el uso de un documento de Microsoft Word con macros que se hace pasar por un manual de recuperaci\u00f3n de Microsoft que incluye instrucciones leg\u00edtimas<\/a> emitido por el fabricante de Windows para resolver el problema, utiliz\u00e1ndolo como se\u00f1uelo para activar el proceso de infecci\u00f3n.<\/p>\n

El Archivo DOCM<\/a>cuando se abre, ejecuta la macro para recuperar un archivo DLL de segunda etapa de un control remoto que est\u00e1 decodificado para iniciar Daolpu, un malware ladr\u00f3n equipado para recolectar credenciales y cookies de Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores basados \u200b\u200ben Chromium.<\/p>\n

Tambi\u00e9n se desprende del surgimiento de Nuevas familias de malware ladrones<\/a> como Braodo y DeerStealer, al mismo tiempo que los ciberdelincuentes est\u00e1n explotando t\u00e9cnicas de malvertising que promocionan software leg\u00edtimo como Microsoft Teams para implementar Atomic Stealer.<\/p>\n

“A medida que los cibercriminales intensifican sus campa\u00f1as de distribuci\u00f3n, resulta m\u00e1s peligroso descargar aplicaciones a trav\u00e9s de motores de b\u00fasqueda”, afirma el investigador de Malwarebytes J\u00e9r\u00f4me Segura dicho<\/a>“Los usuarios tienen que navegar entre la publicidad maliciosa (resultados patrocinados) y el envenenamiento SEO (sitios web comprometidos)”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n