26 de julho de 2024

Falha no Microsoft Defender explorada para espalhar stealers

Compartilhe

Uma falha de segurança recentemente corrigida no Microsoft Defender SmartScreen foi explorada em uma campanha para distribuir stealers de informações, como ACR Stealer, Lumma e Meduza. Essa vulnerabilidade de alta gravidade permitia que invasores contornassem as proteções do SmartScreen e entregassem cargas maliciosas. A Microsoft corrigiu esse problema nas atualizações de segurança mensais de fevereiro de 2024.

Como Funciona o Ataque

De acordo com a pesquisadora de segurança Cara Lin, os atacantes inicialmente atraem as vítimas para clicar em um link que direciona para um arquivo URL projetado para baixar um arquivo LNK. Esse arquivo LNK, por sua vez, baixa um executável contendo um script de Aplicativo HTML (HTA). O arquivo HTA decodifica e descriptografa o código PowerShell, que busca um arquivo PDF de isca e um injetor de shellcode. Esse injetor então desenvolve o Meduza Stealer ou Hijack Loader, que subsequentemente lança o ACR Stealer ou Lumma.

Técnicas de Evasão

Ataques recentes utilizando o Lumma Stealer também usaram essa técnica, permitindo a alteração dos domínios de comando e controle (C2) a qualquer momento, o que torna a infraestrutura do ataque mais resiliente. Segundo o AhnLab Security Intelligence Center (ASEC), essa capacidade de adaptação dificulta a interrupção dos ataques.

Impactos e Respostas

A divulgação dessa vulnerabilidade ocorre em um momento em que a CrowdStrike revelou que atores de ameaça estão aproveitando a interrupção da semana passada para distribuir um stealer de informações até então não documentado, chamado Daolpu. Esse ataque utiliza um documento Microsoft Word com macros que se disfarça como um manual de recuperação da Microsoft. Esse documento contém instruções legítimas emitidas pelo fabricante do Windows para resolver o problema, mas serve como isca para ativar o processo de infecção.

Conclusão

Essa série de ataques destaca a importância de manter sistemas atualizados e vigilantes contra novas técnicas de invasão. A correção da vulnerabilidade pelo Microsoft Defender SmartScreen é um passo crucial para proteger os usuários, mas é igualmente vital que os usuários e administradores de sistemas permaneçam atentos e adotem práticas de segurança robustas para mitigar riscos.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado