黑客利用微软Defender SmartScreen漏洞CVE-2024-21412投递ACR、LUMMA和MEDUZA窃密木马

Fortinet FortiGuard Labs 的研究人员观察到了一次恶意软件活动，该活动利用 CVE-2024-21412（CVSS 评分：8.1）漏洞来传播信息窃取器，如 ACR Stealer、Lumma 和 Meduza。

CVE-2024-21412 是一个互联网快捷方式文件安全特性绕过漏洞。

该漏洞存在于 Microsoft Windows SmartScreen 中，由不当处理恶意制作的文件引起。未经验证的攻击者可以通过向受害者发送一个设计用于绕过显示安全检查的特制文件来触发该漏洞。攻击者需要诱骗受害者点击文件链接。该漏洞由以下团队报告：

• Trend Micro 的 Zero Day Initiative 的 Peter Girnus（gothburz）

• Aura Information Security 的 dwbzn

• Google 威胁分析组的 Dima Lenz 和 Vlad Stolyarov

Microsoft 通过发布 2024 年 2 月的 Patch Tuesday 安全更新解决了这一漏洞。Fortinet 报告称，该窃取器活动针对西班牙、泰国和美国，使用了带有陷阱的文件。

“FortiGuard Labs 观察到一次窃取器活动，该活动传播多个文件，这些文件利用 CVE-2024-21412 漏洞来下载恶意可执行文件。首先，攻击者诱骗受害者点击一个设计用于下载 LNK 文件的 URL 文件的特制链接。然后，LNK 文件下载一个包含 HTA 脚本的可执行文件。脚本执行后，会解码和解密 PowerShell 代码以检索最终 URL、诱饵 PDF 文件和一个恶意的 shellcode 注入器。这些文件旨在将最终的窃取器注入到合法进程中，启动恶意活动，并将窃取的数据发送回 C2 服务器。”Fortinet 发布的报告指出。“威胁参与者设计了不同的注入器来逃避检测，并使用各种 PDF 文件针对特定区域，包括北美、西班牙和泰国。”

在调查过程中，研究人员检测到了多个 LNK 文件，这些文件被用于下载包含嵌入式 HTA 脚本的相似可执行文件。HTA 脚本执行了额外的恶意代码，并下载了两个文件：一个诱饵 PDF 文件，旨在分散受害者的注意力；以及一个执行文件，该文件为攻击的后续阶段注入了 shellcode。

研究人员发现了两种类型的注入器。第一种变体从 Imghippo 托管的图像文件中下载 shellcode，该网站在 VirusTotal 上的检测率较低。使用 Windows API “GdipBitmapGetPixel” 从图像像素中提取 shellcode，然后执行它。该代码检索必要的 API，创建一个文件夹，并在“%TEMP%”目录中放置文件，包括由数据中特定字节模式指示的 HijackLoader。

第二种注入器只是从其数据部分解密其代码，并使用多个 Windows API 函数（如 NtCreateSection、NtMapViewOfSection 和 NtProtectVirtualMemory）将 shellcode 注入系统。这种方法通过操纵内存段及其保护来促进恶意载荷的执行。

Fortinet 观察到威胁参与者传播了 Meduza Stealer 2.9 版本，这是一个通过 HijackLoader 传递的 ACR 窃取器，它采用“死投解析器”技术将 C2 服务器隐藏在 Steam 社区个人资料上。

“为了缓解此类威胁，组织必须教育其用户了解从未经验证的来源下载和运行文件的危险。威胁参与者的持续创新需要一种强大且主动的网络安全策略，以保护组织免受复杂的攻击媒介的影响。”报告总结道。“主动措施、用户意识和严格的安全协议是保护组织数字资产的关键组成部分。”

原文始发于微信公众号（黑猫安全）：黑客利用微软Defender SmartScreen漏洞CVE-2024-21412投递ACR、LUMMA和MEDUZA窃密木马