Microsoft Defender SmartScreen’deki artık düzeltilmiş bir güvenlik açığı, ACR Stealer, Lumma ve Meduza gibi bilgi hırsızlarını ele geçirmek için tasarlanan yeni bir kampanyanın parçası olarak istismar edildi.
Fortinet FortiGuard Labs, İspanya, Tayland ve ABD’yi hedef alan hırsızlık saldırısını, CVE-2024-21412 (CVSS puanı: 8.1) güvenlik açığından yararlanan tuzaklı dosyalar kullanarak tespit ettiğini açıkladı.
Yüksek öneme sahip güvenlik açığı, bir saldırganın SmartScreen korumasını atlatmasına ve kötü amaçlı yükler bırakmasına olanak tanır. Microsoft, bu sorunu Şubat 2024’te yayımlanan aylık güvenlik güncellemelerinin bir parçası olarak ele aldı.
Güvenlik araştırmacısı Cara Lin, “Başlangıçta saldırganlar kurbanları bir LNK dosyasını indirmek için tasarlanmış bir URL dosyasına giden hazırlanmış bir bağlantıyı tıklamaya ikna eder,” dedi. “Daha sonra LNK dosyası, bir LNK dosyası içeren yürütülebilir bir dosyayı indirir. [HTML Application] senaryo.”
HTA dosyası, bir sahte PDF dosyasını ve bir kabuk kodu enjektörünü almaktan sorumlu olan PowerShell kodunu çözmek ve şifresini çözmek için bir kanal görevi görür; bu da Meduza Stealer veya Hijack Loader’ın dağıtımına yol açar ve daha sonra ACR Stealer veya Lumma’yı başlatır.
GrMsk Stealer’ın gelişmiş bir versiyonu olduğu değerlendirilen ACR Stealer, Mart 2024’ün sonlarında Rusça yeraltı forumu RAMP’ta SheldIO adlı bir tehdit aktörü tarafından duyurulmuştu.
“Bu ACR hırsızı kimliğini gizliyor [command-and-control] Lin, “Steam topluluk web sitesinde bir ölü damla çözücü (DDR) tekniği ile” web tarayıcılarından, kripto cüzdanlarından, mesajlaşma uygulamalarından, FTP istemcilerinden, e-posta istemcilerinden, VPN hizmetlerinden ve parola yöneticilerinden bilgi sızdırma yeteneğine dikkat çekti.
AhnLab Güvenlik İstihbarat Merkezi’ne (ASEC) göre, son zamanlarda gerçekleştirilen Lumma Stealer saldırılarında da aynı tekniğin kullanıldığı gözlemlendi; bu sayede saldırganların C2 alan adlarını istedikleri zaman değiştirmeleri kolaylaşıyor ve altyapı daha dayanıklı hale geliyor.
Açıklama, CrowdStrike’ın tehdit gruplarının geçen haftaki kesintiyi, daha önce belgelenmemiş Daolpu adlı bir bilgi hırsızlığını dağıtmak için kullandıklarını ortaya koymasının ardından geldi. Bu, milyonlarca Windows cihazını çökerten hatalı güncellemeden kaynaklanan devam eden olumsuzlukların en son örneği oldu.
Saldırıda, Windows üreticisi tarafından sorunu çözmek için yayınlanan meşru talimatları listeleyen, Microsoft kurtarma kılavuzu gibi görünen, makro içerikli bir Microsoft Word belgesinin kullanılması ve enfeksiyon sürecini etkinleştirmek için bir yem olarak kullanılması yer alıyor.
DOCM dosyası açıldığında, uzaktan kumandadan Daolpu adlı, Google Chrome, Microsoft Edge, Mozilla Firefox ve diğer Chromium tabanlı tarayıcılardan kimlik bilgilerini ve çerezleri toplamak için donatılmış bir hırsız kötü amaçlı yazılımı başlatmak üzere kodlanmış ikinci aşama bir DLL dosyasını almak için makroyu çalıştırır.
Bu durum, Braodo ve DeerStealer gibi yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkmasının ardından gelirken, siber suçlular da Atomic Stealer’ı dağıtmak için Microsoft Teams gibi meşru yazılımları tanıtan kötü amaçlı reklam tekniklerini kullanıyor.
“Siber suçlular dağıtım kampanyalarını artırdıkça, uygulamaları arama motorları üzerinden indirmek daha tehlikeli hale geliyor,” diyor Malwarebytes araştırmacısı Jérôme Segura. “Kullanıcılar kötü amaçlı reklamcılık (sponsorlu sonuçlar) ve SEO zehirlenmesi (tehlikeye atılmış web siteleri) arasında gezinmek zorunda kalıyor.”