En una reciente campaña de malware, se ha identificado que la vulnerabilidad CVE-2024-21412 en Microsoft Defender SmartScreen está siendo explotada por ciberdelincuentes para distribuir programas maliciosos de robo de información, incluyendo ACR Stealer, Lumma y Meduza. Investigadores de Fortinet FortiGuard Labs han observado cómo esta falla, con un puntaje CVSS de 8.1, está siendo utilizada para comprometer sistemas en varios países.
Detalles de la Vulnerabilidad
La vulnerabilidad CVE-2024-21412 es un fallo en la función de seguridad de archivos de acceso directo en Internet de Microsoft Windows SmartScreen. Esta falla, causada por el manejo inadecuado de archivos maliciosamente diseñados, permite que un atacante no autenticado eluda los controles de seguridad mostrados y engañe a las víctimas para que hagan clic en un enlace de archivo especialmente creado.
Metodología del Ataque
La campaña de malware observada por Fortinet involucra a los atacantes que persuaden a las víctimas para que hagan clic en un enlace a un archivo URL. Este archivo descarga un archivo LNK, el cual a su vez descarga un archivo ejecutable que contiene un script HTA. Una vez ejecutado, el script decodifica y desencripta código PowerShell para recuperar URLs finales, archivos PDF señuelo y un inyectador de shell code malicioso. Este inyectador introduce el stealer final en procesos legítimos, iniciando actividades maliciosas y enviando los datos robados a un servidor de comando y control (C2).
Variantes de Inyectores
Los investigadores identificaron dos tipos de inyectores utilizados en estos ataques:
- Primer Variante: Descarga shell code de un archivo de imagen alojado en Imghippo, que tiene bajas tasas de detección en VirusTotal. El código se extrae de los píxeles de la imagen utilizando la API de Windows “GdipBitmapGetPixel” y luego se ejecuta. Este código recupera las APIs necesarias, crea una carpeta y deposita archivos en el directorio “%TEMP%”.
- Segunda Variante: Desencripta su código desde una sección de datos y utiliza varias funciones de la API de Windows como NtCreateSection, NtMapViewOfSection y NtProtectVirtualMemory para inyectar el shell code en el sistema.
Impacto y Mitigación
Durante la investigación, Fortinet detectó la propagación del Meduza Stealer versión 2.9, un stealer ACR entregado a través de HijackLoader que emplea una técnica de “dead drop resolver” para ocultar el servidor C2 en un perfil de la comunidad de Steam.
Para mitigar estas amenazas, es crucial que las organizaciones eduquen a sus usuarios sobre los peligros de descargar y ejecutar archivos de fuentes no verificadas. La continua innovación por parte de los actores de amenazas requiere una estrategia de ciberseguridad robusta y proactiva para protegerse contra vectores de ataque sofisticados.
Conclusión
En conclusión, las medidas proactivas, la concienciación de los usuarios y los protocolos de seguridad estrictos son componentes vitales para salvaguardar los activos digitales de una organización. La explotación de la vulnerabilidad CVE-2024-21412 destaca la necesidad de estar siempre un paso adelante en el panorama de ciberseguridad en constante evolución.
