Une faille de sécurité désormais corrigée dans Microsoft Defender SmartScreen a été exploitée dans le cadre d’une nouvelle campagne conçue pour diffuser des voleurs d’informations tels que ACR Stealer, Lumma et Meduza.
Fortinet FortiGuard Labs a déclaré avoir détecté la campagne de vol ciblant l’Espagne, la Thaïlande et les États-Unis en utilisant des fichiers piégés exploitant CVE-2024-21412 (score CVSS : 8,1).
Cette vulnérabilité de gravité élevée permet à un attaquant de contourner la protection SmartScreen et de déposer des charges utiles malveillantes. Microsoft a résolu ce problème dans le cadre de ses mises à jour de sécurité mensuelles publiées en février 2024.
« Au départ, les attaquants incitent les victimes à cliquer sur un lien spécialement conçu vers un fichier URL conçu pour télécharger un fichier LNK », explique Cara Lin, chercheuse en sécurité. dit. “Le fichier LNK télécharge ensuite un fichier exécutable contenant un [HTML Application] scénario.”
Le fichier HTA sert de conduit pour décoder et décrypter le code PowerShell chargé de récupérer un fichier PDF leurre et un injecteur de shellcode qui, à son tour, conduit au déploiement de Meduza Stealer ou Hijack Loader, qui lance ensuite ACR Stealer ou Lumma.
Voleur ACR, évalué être une version évoluée du GrMsk Stealer, a été annoncé fin mars 2024 par un acteur malveillant nommé SheldIO sur le forum clandestin en langue russe RAMP.
“Ce voleur d’ACR cache son [command-and-control] avec une technique de résolution de dead drop (DDR) sur le site Web de la communauté Steam”, a déclaré Lin, soulignant sa capacité à siphonner des informations à partir de navigateurs Web, de portefeuilles cryptographiques, d’applications de messagerie, de clients FTP, de clients de messagerie, de services VPN et de gestionnaires de mots de passe.
Il convient de noter que des attaques récentes de Lumma Stealer ont également été observées en utilisant la même technique, ce qui permet aux adversaires de modifier plus facilement les domaines C2 à tout moment et de rendre l’infrastructure plus résiliente. selon au Centre de renseignement de sécurité AhnLab (ASEC).
Cette révélation intervient alors que CrowdStrike a révélé que les acteurs de la menace profitent de la panne de la semaine dernière pour distribuer un voleur d’informations jusqu’alors non documenté appelé Daolpu, ce qui en fait le dernier exemple de la retombées en cours résultant d’une mise à jour défectueuse qui a paralysé des millions d’appareils Windows.
L’attaque implique l’utilisation d’un document Microsoft Word contenant des macros qui se fait passer pour une liste de manuels de récupération Microsoft instructions légitimes émis par le fabricant de Windows pour résoudre le problème, l’utilisant comme leurre pour activer le processus d’infection.
Le Fichier DOCMune fois ouvert, exécute la macro pour récupérer un fichier DLL de deuxième étape à partir d’une télécommande qui est décodé pour lancer Daolpu, un malware voleur équipé pour récolter les informations d’identification et les cookies de Google Chrome, Microsoft Edge, Mozilla Firefox et d’autres navigateurs basés sur Chromium.
Elle fait également suite à l’émergence de nouvelles familles de malwares voleurs tels que Braodo et DeerStealer, alors même que les cybercriminels exploitent des techniques de malvertising faisant la promotion de logiciels légitimes tels que Microsoft Teams pour déployer Atomic Stealer.
« Alors que les cybercriminels intensifient leurs campagnes de distribution, il devient plus dangereux de télécharger des applications via les moteurs de recherche », explique Jérôme Segura, chercheur chez Malwarebytes. dit« Les utilisateurs doivent naviguer entre le malvertising (résultats sponsorisés) et l’empoisonnement SEO (sites Web compromis). »