More

    Hakeri aktivno iskorištavaju ranjivost Microsoft SmartScreen za implementaciju malicioznog softvera Stealer

    Hakeri napadaju Microsoft SmartScreen jer je to komponenta zasnovana na oblaku, anti-phishing i anti-malware komponenta koja određuje da li je web stranica potencijalno maliciozna, štiteći korisnike od preuzimanja štetnih virusa. 

    Iskorištavanjem ranjivosti u SmartScreenu, hakeri se mogu provući kroz Windows Defender i širiti maliciozni softver na uređaje korisnika.

    Istraživači sajber sigurnosti u Cyble-u su nedavno otkrili da hakeri aktivno iskorištavaju ranjivost Microsoft SmartScreen za postavljanje malicioznog softvera za krađu.

    Microsoft SmartScreen ranjivost

    U januaru 2024. Cyble inicijativa Zero Day otkrila je DarkGate kampanju koja iskorištava CVE-2024-21412 putem lažnih instalatera softvera. 

    Microsoft je zakrpio ranjivost 13. februara, ali Water Hydra i druge grupe nastavili su je koristiti za implementaciju malicioznog softvera, uključujući DarkMe RAT, zaobilazeći SmartScreen s internetskim prečicama.

    Maliciozne veze ka internetskim prečicama koje se nalaze na WebDAV dionicama obično se distribuišu putem neželjene e-pošte.

    Kada se pokreću ove prečice, preskaču SmartScreen korak i pokreću napad u više koraka koji koristi PowerShell kao i JavaScript skripte.

    Konačno, kampanja instalira maliciozni softver za krađu informacija kao što su Lumma i Meduza Stealer, pokazujući kako su hakeri evoluirali u svom pristupu iskorištavanju nedavno zakrpljenih ranjivosti.

    Lanac infekcije (izvor – Cyble)

    Haker cilja pojedince i organizacije širom svijeta, koristeći mamce kao što su lažni španski porezni dokumenti, e-poruke Ministarstva saobraćaja SAD-a i australski obrasci za Medicare.

    To je vrlo lukav tehnološki napad koji koristi CVE-2024-21412 da zaobiđe Microsoft Defender SmartScreen.

    Napadači mogu slati phishing e-poruke koje sadrže malicioznu vezu koja vodi do internetske prečice koju hostuje WebDAV.

    Lanac napada uključuje više koraka, od kojih posljednji uključuje JavaScript ugrađen u benigne izvršne datoteke, korištenje legitimnih Windows uslužnih programa i njihovo trovanje za maliciozne LNK datoteke.

    Ovdje PowerShell skripte dešifruju i izvršavaju dodatne korisne sadržaje, instaliraju maliciozni softver i prikazuju lažni dokument na žrtvinoj mašini.

    Neke od metoda korištenih u ovoj kampanji uključuju bočno učitavanje DLL-a i iskorištavanje IDAT loadera za distribuciju malicioznog softvera Lumma i Meduza Stealer.

    Korisno opterećenje se zatim ubacuje u explorer.exe. Sve veća upotreba CVE-2024-21412, zajedno sa tako razrađenim pristupima, potvrđuje okruženje sajber pretnji koje se veoma brzo transformiše.

    Ovaj razvoj bi mogao biti ubrzan dostupnošću ponude Malware-as-a-Service , što posljedično naglašava hitan zahtjev za proaktivnim sigurnosnim mjerama i kontinuiranim promjenama u cilju suprotstavljanja novim prijetnjama koje proizlaze iz takvih načina.

    Preporuke

    U nastavku smo naveli sve preporuke:-

    • Potvrdite e-poštu i linkove
    • Koristite napredno filtriranje e-pošte
    • Izbjegavajte sumnjive veze
    • Održavajte softver ažurnim
    • Uslužni program Monitor forfiles
    • Ograničite skriptne jezike
    • Implementirajte bijelu listu aplikacija
    • Segmentirajte svoju mrežu

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories