Уязвимость Microsoft Defender используется для кражи данных

24 июля 2024, 23:22 / Технологии → Новости / Технологии

По словам исследователей в области безопасности, уязвимость высокой степени серьезности в Microsoft

Microsoft Corporation (произносится «ма́йкрософт»; как правило, именуется просто Microsoft; распространено сокращение MS) — одна из крупнейших транснациональных компаний по производству проприетарного программного обеспечения для различного рода вычислительной техники — персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы — семейства операционных систем Windows. Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т. д.). C 2012 года производит собственный планшетный компьютер — Surface. Википедия

Defender SmartScreen используется для распространения вредоносного ПО для кражи информации в Испании, Таиланде и США. Исследователи обнаружили кампанию воров, использующую заминированные файлы для использования уязвимости и доставки таких похитителей информации, как ACR Stealer, Lumma и Meduza.

Лаборатория Fortinet FortiGuard Labs наблюдала за последней воровской кампанией, распространяющей множество файлов, которые могут обойти SmartScreen Microsoft Defender и загрузить вредоносное программное обеспечение на целевые компьютеры. Уязвимость безопасности устранена в CVE-2024-21412.

Поскольку Microsoft закрыла эту дыру в безопасности обновлением, выпущенным в феврале 2024 года, эта новость подчеркивает важность своевременной установки обновлений безопасности. Раскрытие информации последовало сразу за сбоем в работе CrowdStrike, который также используется для доставки вредоносного ПО: CrowdStrike обнаружила, что злоумышленники распространяют поддельное руководство по восстановлению, которое содержит ранее недокументированный похититель под названием Daolpu.

Исследователь безопасности Кара Лин сообщила ( через The Hacker News), что злоумышленники «заманивают жертв щелкнуть созданную ссылку на URL-файл, предназначенный для загрузки файла LNK». После загрузки и открытия файл LNK загружает исполняемый файл, содержащий сценарий HTML-приложения (HTA).

Затем HTA декодирует и расшифровывает запутанный код PowerShell, который извлекает ложные PDF-файлы вместе с инжектором шелл-кода. Затем этот инжектор шелл-кода развертывает и запускает вредоносное программное обеспечение. Вредоносное ПО передает информацию из веб-браузеров, криптокошельков, приложений для обмена сообщениями, FTP-клиентов и почтовых клиентов, VPN-сервисов и менеджеров паролей через тайник на веб-сайте сообщества Steam, популярного игрового сервиса.

ACR Stealer предназначен для широкого спектра популярных приложений. К ним относятся несколько версий Google Chrome, Epic Privacy Browser, Vivaldi, Microsoft Edge, Opera и Mozilla Firefox, и это лишь некоторые из них. Он также нацелен на приложения для обмена сообщениями, включая Telegram, Pidgin, Signal, Tox, Psi, Psi+ и WhatsApp, а также на многочисленные FTP-клиенты.

Также атаке подверглись VPN-сервисы NordVPN и AzireVPN, а также менеджеры паролей Bitwarden, NordPass, 1Password и RoboForm. Хотя захваченные данные из менеджера паролей должны быть зашифрованы, остается некоторый риск извлечения из них конфиденциальных данных. Fortinet располагает полным списком известного целевого программного обеспечения в своем анализе кампании по воровству.

Опять же, уязвимость Microsoft Defender SmartScreen была исправлена в обновлении безопасности от февраля 2024 года. Однако если организация не устанавливает такие обновления регулярно, она остается уязвимой для угрозы.

Источник: Tomshardware.com