O Microsoft Windows Defender SmartScreen é responsável por proteger seu computador contra sites e aplicativos de phishing ou malware — ele também impede o download de arquivos potencialmente maliciosos. Presente em todos os PCs Windows, o problema reside em uma nova campanha cibercriminosa que abusa da vulnerabilidade CVE-2024-21412 para ultrapassar suas barreiras de segurança e roubar dados de usuários.
De acordo com os pesquisadores da FortiGuard Labs, essa vulnerabilidade entrega aos criminosos a capacidade de injetar malwares e outros softwares maliciosos dentro de um sistema. Como notam ao HackRead, anteriormente, essa vulnerabilidade já foi explorada por stealers como o Lumma e o Meduza — que retorna em nova versão.
Entre os alvos estão serviços como Google Chrome, carteiras de criptomoeda, WhatsApp, Telegram, plataformas de email e gerenciadores de senhas
“A CVE-2024-21412 é uma vulnerabilidade de desvio de segurança no Microsoft Windows SmartScreen que surge de um erro no manuseio de arquivos criados com códigos maliciosos. Um invasor remoto pode explorar essa falha para ignorar a caixa de diálogo de aviso de segurança do SmartScreen e entregar arquivos criminosos”, pontuam os pesquisadores da FortiGuard.
Até o momento, apenas sistemas localizados na América do Norte, Espanha e Tailândia sofreram com esse tipo de ataque. Entre os alvos do stealer, estão serviços como Google Chrome, carteiras de criptomoeda, WhatsApp, Telegram, plataformas de email e gerenciadores de senhas.
A exploração tem sucesso após a vítima abrir um link falso “com arquivo PDF”: acompanhe a seguir o modus operandi.
Caminho do crime
A técnica do caminho do crime
O modus operandi é o seguinte: atacantes enganam vítimas com uma mensagem enviando um arquivo URL que faz o download de outro arquivo LNK (phishing).
O arquivo LNK possui um executável com script HTA que decodifica e descriptografa código PowerShell para restaurar as URLs finais, enviar arquivos PDF falsos e injetar código shell malicioso. A FortiGuard afirma que esses arquivos são os responsáveis finais para incluir o stealer (o programa que rouba dados) dentro de processos legítimos. Ao final da coleta, os dados são enviados para um servidor de Comando e Controle (C2).
Vamos detalhar: isso significa que temos um ataque de phishing inicial. O phishing envolve mensagens falsas enviadas para uma vítima e podem conter diversos meios para roubar dados ou injetar malware. No caso, enviar arquivos maliciosos para dentro de um PC Windows.
Após o download, o arquivo LNK (um atalho que representa uma referência para um arquivo original) utiliza comandos PowerShell (automação de tarefas multiplataforma) para rodar um script HTA (aplicação HTML) disfarçado como ícone de sobreposição.
Ao final do percurso, a vítima se depara com um PDF falso baixado silenciosamente por um script PowerShell. É esse PDF que libera um injetor de código shell e permite a entrada do stealer — um malware stealer é um programa capaz de roubar informações que ficam salvas em navegadores web ou outros diretórios de seu sistema.
Os pesquisadores da FortiGuard ainda notam que foram identificados dois tipos de injetores de código shell: o primeiro utiliza uma imagem para obtenção de código e voa baixo nas detecções do VirusTotal. O segundo faz o download de uma imagem JPG do site Imghippo e usa a API “GdipBitmapGetPixel” para acessar pixels e decodificar bytes para alcançar o código shell.
Entre as versões de stealers encontrados, estão o Meduza Stealer 2.9 e o ACR
Resumo do golpe: a campanha tem como alvo principal o CVE-2024-21412 para espalhar arquivos LNK que realizam o download de arquivos de execução que incorporam código de script HTA em suas sobreposições. O script HTA é executado silenciosamente, evitando janelas pop-up e baixa clandestinamente dois arquivos: um PDF isca e um arquivo de execução projetado para injetar código shell, preparando assim o sistema para receber o malware e entregar os dados do usuário.
Para ficar com o sistema protegido, é imperativo atualizar o Windows com os últimos pacotes de segurança. Obviamente, ações padrão de cuidado sobre mensagens falsas e o download de arquivos desconhecidos devem continuar.
Ainda vale notar que soluções antivírus no mercado já possuem a capacidade de identificar golpes que tentam abusar da vulnerabilidade CVE-2024-21412. O grande problema disso tudo reside na falta de atualização e educação cibernética — a cibersegurança precisa ser pró-ativa.
Meduza stealer
Alvos
Acompanhe agora os serviços que são alvo do stealer:
Navegadores: Google Chrome, Google Chrome SxS, Google Chrome Beta, Google Chrome Dev, Google Chrome Unstable, Google Chrome Canary, Epic Privacy Browser, Vivaldi, 360Browser Browser, CocCoc Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa, Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements Browser, MapleStudio ChromePlus, Maxthon3, Amigo, Brave-Browser, Microsoft Edge, Opera Stable, Opera GX Stable, Opera Neon, Mozilla Firefox, BlackHawk e TorBro.
Carteiras de criptomoedas: Bitcoin, Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Dogecoin, ElectronCash, MultiDoge, com.liberty.jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, Zcash, Guarda, WalletWasabi e Monero.
Mensageiros: Telegram, Pidgin, Signal, Tox, Psi, Psi+ e WhatsApp.
Clientes FTP: FileZilla, GoFTP, UltraFXP, NetDrive, FTP Now, DeluxeFTP, FTPGetter, Steed, Estsoft ALFTP, BitKinex, Notepad++ plugins NppFTP, FTPBox, INSoftware NovaFTP e BlazeFtp.
Clientes de email: Mailbird, eM Client, The Bat!, PMAIL, Opera Mail, yMail2, TrulyMail, Pocomail e Thunderbird.
Serviços de VPN: NordVPN e AzireVPN.
Cofres de senhas: Bitwarden, NordPass, 1Password e RoboForm.
Outras plataformas: AnyDesk, MySQL Workbench, GHISLER, Sticky Notes, Notezilla , To-Do DeskList, snowflake-ssh e GmailNotifierPro.
Novamente, para acompanhar em miúdos a investigação da FortiGuard, aqui está o link.
