Лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила активную кампанию, которая использует уязвимость Microsoft SmartScreen (CVE-2024-21412) для доставки вредоносной программы через спам-письма. Кампания направлена на несколько регионов, включая Испанию, США и Австралию. Злоумышленники используют заманки, связанные с программами медицинского страхования, транспортными уведомлениями и сообщениями о налогах, чтобы обманом заставить людей и организации загрузить вредоносную полезную нагрузку на свои компьютеры.
Обзор
Атака начинается со спам-сообщения, в котором содержится ссылка, перенаправляющая пользователей на веб-ресурс WebDAV. Злоумышленники использовали протокол поиска, чтобы обманом заставить пользователей выполнить вредоносный файл интернет-ярлыка, эксплуатирующий уязвимость CVE-2024-21412. Атака включает множество шагов, используя легитимные инструменты, такие как forfiles.exe, PowerShell, mshta, для обхода мер безопасности. Цепочка атаки использует боковую загрузку DLL и IDATLoader для внедрения вредоносной программы в explorer.exe. В качестве конечной полезной нагрузки используются Lumma и Meduza Stealer, предназначенные для сбора конфиденциальной информации.
Zero Day Initiative (ZDI) ранее обнаружила кампанию DarkGate, которая также использовала уязвимость CVE-2024-21412 для развертывания вредоносной программы. Компания Microsoft исправила эту уязвимость 13 февраля 2024 года. В настоящей активной кампании злоумышленники используют URL-ярлыки, чтобы обойти защиту Microsoft Defender SmartScreen и доставить вредоносную программу на системы жертв.
Атака направлена на широкий круг лиц и организаций в разных регионах и секторах экономики. Злоумышленники нацелились на испанских налогоплательщиков, транспортные компании (под видом электронных писем от Министерства транспорта США), а также на жителей Австралии (под видом официальных форм регистрации в Medicare).
Технический анализ показывает, что злоумышленники заманивают пользователей нажать на вредоносную ссылку в спам-письме. При открытии файла интернет-ярлыка эксплуатируется уязвимость CVE-2024-21412, которая позволяет злоумышленникам запускать вредоносные файлы и процессы. Атака использует различные файлы сценариев, включая PowerShell и JavaScript, для доставки вредоносной программы.
Таким образом, активная кампания, которую обнаружила CRIL, использует уязвимость Microsoft SmartScreen для доставки вредоносной программы через спам-письма. Злоумышленники используют разнообразные методы обмана для заражения пользователей и организаций. Технический анализ показывает, что атака включает многошаговую цепочку и использует различные инструменты, чтобы обойти меры безопасности. Эта кампания подчеркивает важность обновления системного программного обеспечения и осторожности при открытии ссылок и файлов, особенно из ненадежных источников.
Indicators of Compromise
SHA256
- 2460e7590e09af09ced6f75c001a9066c18629d956edbe8041f08cd21b7528b2
- 268a0de2468726a106fd92563a846e764f2ba313e37b5fc0cf76171b0a363f6f
- 473abb2c272295473e5556ec7dec06f2018c0a67f208d8ab33de1fb6d40895f5
- 4eccb7813cee8c8039424aebf69f4269d4a6c2c72d81a001254bcdce80034555
- 58e2b766dec37cc5fcfb63bc16d69627cd87e7e46f0b9f48899889479f12611e
- 6481462f15ad4213f83a3d28304f14496bae1feb8580056959a657d0ee8981db
- 7ee31fa89e9e68f20004bdc31f8f05a95861b6c678bfa3b57f09fdfad9ef5290
- 81e89754ae2324c684fce71acafc30f8085870be947e7a76971b4fec1b24b5d1
- aceee450c55d61671c2d3d154b5f77e7f99688b6da8a8f3256a4bae2cdb76a4c
