Новая волна кибератак: эксплуатация уязвимости в Microsoft Defender для распространения вредоносных программ

В последние месяцы киберпреступники активизировали атаки, используя уязвимость в системе защиты Microsoft Defender. По информации аналитиков из Fortinet FortiGuard Labs, проблема, обозначенная как CVE-2024-21412, позволяла обходить защиту SmartScreen и загружать вредоносные программы, в том числе ACR Stealer, Lumma и Meduza.

Исследователи обнаружили, что атаки нацелены на пользователей из Испании, Таиланда и США. Злоумышленники отправляют жертвам специально созданные ссылки, которые ведут к загрузке исполняемого файла через LNK-файл. Этот файл, в свою очередь, активирует скрипт HTML Application (HTA), начиная процесс декодирования и расшифровки PowerShell кода.

Целью кода является загрузка декой-файла в формате PDF и инжектора шелл-кода, который запускает Meduza Stealer или Hijack Loader. Последний, в свою очередь, приводит к активации ACR Stealer или Lumma, что представляет значительную угрозу безопасности.

ACR Stealer, в частности, является усовершенствованной версией GrMsk Stealer и был обнаружен в конце марта 2024 года. Он способен красть данные из веб-браузеров, криптокошельков, приложений для обмена сообщениями, FTP-клиентов, почтовых клиентов, VPN и менеджеров паролей.