Уязвимость Microsoft Defender используется для кражи данных
Microsoft Corporation (произносится «ма́йкрософт»; как правило, именуется просто Microsoft; распространено сокращение MS) — одна из крупнейших транснациональных компаний по производству проприетарного программного обеспечения для различного рода вычислительной техники — персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы — семейства операционных систем Windows. Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т. д.). C 2012 года производит собственный планшетный компьютер — Surface. Википедия
Читайте также:Microsoft Flight Simulator получил крупнейшее в мире обновлениеВ Xbox Game Pass возможны измененияСоглашение Microsoft и ЕС: защита от кибератак усложнитсяMicrosoft выпускает инструмент CrowdStrike Recovery ToolMicrosoft: Xbox Game Pass не «понижен»
Лаборатория Fortinet FortiGuard Labs наблюдала за последней воровской кампанией, распространяющей множество файлов, которые могут обойти SmartScreen Microsoft Defender и загрузить вредоносное программное обеспечение на целевые компьютеры. Уязвимость безопасности устранена в CVE-2024-21412.
Поскольку Microsoft закрыла эту дыру в безопасности обновлением, выпущенным в феврале 2024 года, эта новость подчеркивает важность своевременной установки обновлений безопасности. Раскрытие информации последовало сразу за сбоем в работе CrowdStrike, который также используется для доставки вредоносного ПО: CrowdStrike обнаружила, что злоумышленники распространяют поддельное руководство по восстановлению, которое содержит ранее недокументированный похититель под названием Daolpu.
Исследователь безопасности Кара Лин сообщила ( через The Hacker News), что злоумышленники «заманивают жертв щелкнуть созданную ссылку на URL-файл, предназначенный для загрузки файла LNK». После загрузки и открытия файл LNK загружает исполняемый файл, содержащий сценарий HTML-приложения (HTA).
Затем HTA декодирует и расшифровывает запутанный код PowerShell, который извлекает ложные PDF-файлы вместе с инжектором шелл-кода. Затем этот инжектор шелл-кода развертывает и запускает вредоносное программное обеспечение. Вредоносное ПО передает информацию из веб-браузеров, криптокошельков, приложений для обмена сообщениями, FTP-клиентов и почтовых клиентов, VPN-сервисов и менеджеров паролей через тайник на веб-сайте сообщества Steam, популярного игрового сервиса.
ACR Stealer предназначен для широкого спектра популярных приложений. К ним относятся несколько версий Google Chrome, Epic Privacy Browser, Vivaldi, Microsoft Edge, Opera и Mozilla Firefox, и это лишь некоторые из них. Он также нацелен на приложения для обмена сообщениями, включая Telegram, Pidgin, Signal, Tox, Psi, Psi+ и WhatsApp, а также на многочисленные FTP-клиенты.
Также атаке подверглись VPN-сервисы NordVPN и AzireVPN, а также менеджеры паролей Bitwarden, NordPass, 1Password и RoboForm. Хотя захваченные данные из менеджера паролей должны быть зашифрованы, остается некоторый риск извлечения из них конфиденциальных данных. Fortinet располагает полным списком известного целевого программного обеспечения в своем анализе кампании по воровству.
Опять же, уязвимость Microsoft Defender SmartScreen была исправлена в обновлении безопасности от февраля 2024 года. Однако если организация не устанавливает такие обновления регулярно, она остается уязвимой для угрозы.
Источник: Tomshardware.com
0 комментариев