网络攻击者在窃取活动中利用 Microsoft SmartScreen 漏洞

阅读量52200

发布时间 : 2024-07-25 15:00:16

x
译文声明

本文是翻译文章,文章原作者 Nate Nelson,文章来源:DARKREADING

原文地址:https://www.darkreading.com/vulnerabilities-threats/cyberattackers-exploit-microsoft-smartscreen-bug-in-stealer-campaign

译文仅供参考,具体内容表达以及含义原文为准。

2 月份修补的 Microsoft Defender SmartScreen 漏洞仍在全球范围内用于信息窃取攻击。

CVE-2024-21412 是 SmartScreen 中一个严重性为“高”的 CVSS 评分为 8.1 的安全绕过漏洞,于 2 月 13 日首次披露并修复。从那时起,它已被用于涉及 Lumma StealerWater Hydra 和 DarkGate 等知名信息窃取者的活动

现在,五个月后,Fortinet 标记了另一个涉及另外两个偷窃者的活动:Meduza 和 ACR。到目前为止,袭击已经到达美国、西班牙和泰国。

有时,组织会花时间更新第三方软件。相比之下,“在这种情况下,攻击者正在利用 Microsoft Windows 上的原生软件,这些软件将在正常的 Microsoft 补丁周期内更新,”Fortinet 全球安全策略师兼研究员 Aamir Lakhani 指出。“当这些漏洞没有得到修补时,这有点不清楚和令人担忧,因为这可能表明还有其他Microsoft漏洞也没有得到修补。

CVE-2024-21412攻击链

如果您访问的网站或下载的文件或程序已知不安全,或者由于任何其他原因而可疑,SmartScreen 将介入并向您显示著名的蓝屏消息:“Windows 保护了您的电脑。这是一种简单、有效的方法,可以提醒用户注意潜在危险的网络威胁。

因此,请考虑一下,如果攻击者可以简单地禁用该通知,那么对他们有多大用处。这就是 CVE-2024-21412 允许他们做的事情。

在 Fortinet 确定的最新活动中,攻击者正在“通过结合 PowerShell 诡计和在图像中隐藏攻击并利用这些图像的处理方式”击败 SmartScreen,Lakhani 解释说。

首先,他们通过触发快捷方式 (LNK) 文件下载的 URL 引诱受害者。LNK 下载带有 HTML 应用程序 (HTA) 脚本的可执行文件,其中包含用于检索诱饵 PDF 文件和恶意代码注入器的 PowerShell 代码。

其中一个喷油器比另一个更有趣。在运行反调试检查后,它会下载一个 JPG 图像文件,然后使用 Windows API 访问其像素并解码其字节,其中隐藏着恶意代码。

“这些类型的基于图像的攻击已经存在了很长时间,虽然它们不像我们通常观察到的其他类型的攻击那样常见,但我们仍然看到它们随着时间的推移而出现,因为它们非常有效,”Lakhani指出。“看到这种攻击并不奇怪,特别是因为与其他攻击场景相比,[隐写术]检测经常被忽视。”

对未修补的后果

在这种情况下,通过图像文件走私进来的窃取者被植入合法的 Windows 进程中,此时数据的收集和泄露开始。

他们所针对的信息种类很广泛。例如,ACR 从数十种浏览器(Google Chrome、Firefox)、数十种加密钱包(Binance、Ledger Live)、信使应用程序(Telegram、WhatsApp)、密码管理器(Bitwarden、1Password)、虚拟专用网络 (VPN) 应用程序、电子邮件客户端、文件传输协议 (FTP) 客户端等中窃取。

只有远远落后于标准 Windows 补丁的组织才需要担心。不过,显然,这些组织就在那里。

Lakhani说:“我能理解小公司的个别软件更新可能会被遗漏,但大多数组织都会定期更新Microsoft软件补丁,而且这个特殊的漏洞仍然容易受到攻击。为了鼓励更好的补丁实践,他补充说,“我认为在所有情况下,软件供应商都需要向用户发出警报和通知,告知存在关键的安全补丁,并且应该在启动或使用软件时安装。

本文翻译自DARKREADING 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66