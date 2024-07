Una vulnerabilità in Microsoft SmartScreen, nota da febbraio, viene utilizzata da malintenzionati per iniettare software per il furto di dati nei dispositivi degli utenti e consente l’esfiltrazione di Windows Defender e la compromissione del dispositivo.

Gli aggressori stanno sfruttando attivamente questo problema, che colpisce una vulnerabilità nota per la quale Microsoft ha rilasciato una patch il 14 febbraio. Questa vulnerabilità in Microsoft SmartScreen viene utilizzata per la distribuzione Malware. Questa vulnerabilità è stata identificata utilizzando CVE-2024-21412La funzionalità di sicurezza dei file di collegamento Internet ignora la vulnerabilità.

I documenti ingannevoli utilizzati nella campagna prendono di mira i contribuenti spagnoli, i corrieri con e-mail che sembrano provenire dal Dipartimento dei trasporti degli Stati Uniti e gli utenti in Australia che imitano i moduli di iscrizione ufficiali di Medicare.

Cos’è Microsoft SmartScreen?

Microsoft SmartScreen è una funzionalità di sicurezza integrata in un’ampia gamma di prodotti Microsoft, tra cui Windows, Microsoft Edge e Outlook. Questa funzionalità esegue la scansione dei siti Web e dei file scaricati per proteggerli dagli attacchi malware. Phishing E Malware. Tuttavia, nel gennaio 2024, la Zero Day Initiative (ZDI) ha rilevato che gli autori malintenzionati potevano sfruttare un difetto di questa funzionalità consentendo loro di aggirare le funzionalità di sicurezza di SmartScreen spingendo le vittime a fare clic su collegamenti Internet appositamente predisposti.

Catena di attacco avanzata

L’immagine mostra la complessa catena di infezioni osservata dai ricercatori di Cyble Research and Intelligence Labs (CRIL) nei recenti attacchi.

Questa nuova campagna inizia con le email di PhishingSembra provenire da fonti attendibili. Contengono scorciatoie Internet ospitate su una condivisione WebDAV remota che, se cliccata, ne avvia un’altra File .LNK. È un file di collegamento che contiene un riferimento a un altro file o directory nel sistema. Questa azione provoca un’infezione che può essere sfruttata da client come i popolari Lumma e Meduza Stealer. com.infostealers in grado di catturare password, biscottoE informazioni sulla carta di credito, dati sulla criptovaluta, credenziali VPN, credenziali FTP, dati di compilazione automatica del browser, documenti sensibili, screenshot, informazioni di sistema e altro ancora.

Quando viene eseguito il file LNK dannoso, attiva l’utilità ProfiliChe cerca il file “win.ini” nella directory C:\Windows. Se trovato, forfiles.exe esegue un comando PowerShell utilizzando “mshta.exe” per eseguire in remoto un file dannoso chiamato “dialer.exe”. Questo file contiene JavaScript dannoso che decrittografa ed esegue uno script PowerShell, che scarica il documento honeypot e il file di installazione 7z dal server remoto. Lo script PowerShell apre quindi il documento esca ed esegue il file di installazione.

“In questa campagna, il contenuto iniettato, noto come Lumma e Meduza Stealer, esegue operazioni dannose su sistemi compromessi.” Hanno detto i ricercatori di Saibel.

Questo script scarica, apre ed esegue il documento esca e il programma di installazione 7z. Il programma di installazione lascia file aggiuntivi, inclusi file DLL puliti e dannosi, e un caricatore IDAT crittografato, che esegue processi dannosi come Lumma e Meduza Stealer su sistemi compromessi.

Ricordiamo che è importante aggiornare i nostri sistemi e non cliccare mai su link sconosciuti.

