Hakeri napadaju Microsoft SmartScreen jer je to komponenta zasnovana na oblaku, anti-phishing i anti-malware komponenta koja određuje da li je web stranica potencijalno maliciozna, štiteći korisnike od preuzimanja štetnih virusa.
Iskorištavanjem ranjivosti u SmartScreenu, hakeri se mogu provući kroz Windows Defender i širiti maliciozni softver na uređaje korisnika.
Istraživači sajber sigurnosti u Cyble-u su nedavno otkrili da hakeri aktivno iskorištavaju ranjivost Microsoft SmartScreen za postavljanje malicioznog softvera za krađu.
Microsoft SmartScreen ranjivost
U januaru 2024. Cyble inicijativa Zero Day otkrila je DarkGate kampanju koja iskorištava CVE-2024-21412 putem lažnih instalatera softvera.
Microsoft je zakrpio ranjivost 13. februara, ali Water Hydra i druge grupe nastavili su je koristiti za implementaciju malicioznog softvera, uključujući DarkMe RAT, zaobilazeći SmartScreen s internetskim prečicama.
Maliciozne veze ka internetskim prečicama koje se nalaze na WebDAV dionicama obično se distribuišu putem neželjene e-pošte.
Kada se pokreću ove prečice, preskaču SmartScreen korak i pokreću napad u više koraka koji koristi PowerShell kao i JavaScript skripte.
Konačno, kampanja instalira maliciozni softver za krađu informacija kao što su Lumma i Meduza Stealer, pokazujući kako su hakeri evoluirali u svom pristupu iskorištavanju nedavno zakrpljenih ranjivosti.
.webp)
Haker cilja pojedince i organizacije širom svijeta, koristeći mamce kao što su lažni španski porezni dokumenti, e-poruke Ministarstva saobraćaja SAD-a i australski obrasci za Medicare.
.webp)
To je vrlo lukav tehnološki napad koji koristi CVE-2024-21412 da zaobiđe Microsoft Defender SmartScreen.
Napadači mogu slati phishing e-poruke koje sadrže malicioznu vezu koja vodi do internetske prečice koju hostuje WebDAV.
Lanac napada uključuje više koraka, od kojih posljednji uključuje JavaScript ugrađen u benigne izvršne datoteke, korištenje legitimnih Windows uslužnih programa i njihovo trovanje za maliciozne LNK datoteke.
Ovdje PowerShell skripte dešifruju i izvršavaju dodatne korisne sadržaje, instaliraju maliciozni softver i prikazuju lažni dokument na žrtvinoj mašini.
Neke od metoda korištenih u ovoj kampanji uključuju bočno učitavanje DLL-a i iskorištavanje IDAT loadera za distribuciju malicioznog softvera Lumma i Meduza Stealer.
Korisno opterećenje se zatim ubacuje u explorer.exe. Sve veća upotreba CVE-2024-21412, zajedno sa tako razrađenim pristupima, potvrđuje okruženje sajber pretnji koje se veoma brzo transformiše.
Ovaj razvoj bi mogao biti ubrzan dostupnošću ponude Malware-as-a-Service , što posljedično naglašava hitan zahtjev za proaktivnim sigurnosnim mjerama i kontinuiranim promjenama u cilju suprotstavljanja novim prijetnjama koje proizlaze iz takvih načina.
Preporuke
U nastavku smo naveli sve preporuke:-
- Potvrdite e-poštu i linkove
- Koristite napredno filtriranje e-pošte
- Izbjegavajte sumnjive veze
- Održavajte softver ažurnim
- Uslužni program Monitor forfiles
- Ograničite skriptne jezike
- Implementirajte bijelu listu aplikacija
- Segmentirajte svoju mrežu
Izvor: CyberSecurityNews