Новости Хакеры нашли способ обойти защиту SmartScreen

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Устраненная уязвимость стала каналом для проникновения в системы.


b96yu2f5l7cdetezyhoul84sqz0k0nxs.jpg


Специалисты Cyble сообщают, что хакеры Для просмотра ссылки Войди или Зарегистрируйся обойти защиту Microsoft SmartScreen , чтобы распространять вредоносное ПО на устройства пользователей. Уязвимость в Для просмотра ссылки Войди или Зарегистрируйся позволяет проникнуть в систему через Защитник Windows и заразить устройства.

В январе 2024 года группировка DarkGate Для просмотра ссылки Войди или Зарегистрируйся уязвимость CVE-2024-21412 (оценка CVSS: 8.1) для доставки вредоносных инсталляторов, имитирующих популярные приложения по типу iTunes, Notion и NVIDIA. Microsoft Для просмотра ссылки Войди или Зарегистрируйся уязвимость в феврале, но другая группа, Water Hydra, Для просмотра ссылки Войди или Зарегистрируйся для распространения вредоносного ПО, включая троян DarkMe.

Первоначальное заражение начинается с электронного письма от якобы надежного источника. Письмо составлено так, чтобы побудить получателя нажать на ссылку, которая обманом заставляет пользователя просмотреть URL, размещенный на удаленном ресурсе WebDAV. При нажатии на URL и запускается LNK-файл, размещенный на том же ресурсе WebDAV, инициируя процесс заражения.

Запуск URL-ссылок позволяет пропустить этап проверки SmartScreen и инициировать многоступенчатую атаку с использованием PowerShell и JavaScript скриптов. В конечном итоге на устройства устанавливается вредоносное ПО Lumma и Meduza Stealer.

PowerShell-скрипты расшифровывают и выполняют дополнительные полезные нагрузки, устанавливают вредоносное ПО и отображают поддельный документ на устройстве жертвы. Методы атаки включают DLL Sideloading и эксплуатацию загрузчика IDAT Loader для доставки Lumma и Meduza Stealer. Вредоносное ПО затем внедряется в explorer.exe.


y251o3goo65p5wogqefh1nt63bout11q.png


Цепочка заражения

Атака нацелена на частных лиц и организации по всему миру. В кампании используются такие уловки, как поддельные налоговые документы на испанском языке, электронные письма от Дептранса США и формы Medicare.

Рост использования уязвимости CVE-2024-21412 в сочетании с такими сложными подходами подчеркивает необходимость в проактивных мерах безопасности и постоянных изменениях для противодействия новым угрозам. А доступность модели Ransomware-as-a-Service (RaaS) может только усугубить ситуацию, что делает еще более актуальной задачу принятия мер для защиты от подобных угроз.
 
Источник новости
www.securitylab.ru

Похожие темы