Microsoft Defender-Bug erlaubt Verbreitung gefährlicher Info-Stealer
Eine inzwischen gepatchte Sicherheitslücke im Microsoft Defender SmartScreen wurde in einer neuen Kampagne ausgenutzt. Auf diese Weise wurden Informationsdiebe wie ACR Stealer, Lumma und Meduza verbreitet.
Fortinet FortiGuard Labs hat eine Stealer-Kampagne in Spanien, Thailand und den USA entdeckt, bei der manipulierte Dateien die Sicherheitslücke CVE-2024-21412 (CVSS-Score: 8.1) ausnutzen. Diese kritische Schwachstelle ermöglicht es Angreifern, den SmartScreen-Schutz zu umgehen und bösartige Daten abzulegen. Microsoft hat das Problem im Februar 2024 mit einem Sicherheitsupdate behoben. „Die Angreifer locken ihre Opfer, indem sie sie auf einen manipulierten Link zu einer URL-Datei klicken lassen, die eine LNK-Datei herunterladen soll“, erklärt Sicherheitsexpertin Cara Lin. „Diese LNK-Datei lädt dann eine ausführbare Datei herunter, die ein HTML-Anwendungsskript enthält.“
Die HTA-Datei entschlüsselt und dekodiert PowerShell-Code, der eine gefälschte PDF-Datei und einen Shellcode-Injektor abruft. Dieser Injektor setzt dann entweder Meduza Stealer oder Hijack Loader ein, welcher anschließend ACR Stealer oder Lumma startet. Der ACR Stealer, vermutlich eine weiterentwickelte Version des GrMsk Stealer, wurde Ende März 2024 vom Bedrohungsakteur SheldIO im russischsprachigen Untergrundforum RAMP beworben. „Dieser ACR Stealer verwendet eine Dead-Drop-Resolver-Technik (DDR) auf der Steam-Community-Website, um seine Befehls- und Kontrollkommunikation zu verbergen“, erklärt Lin. Er kann Informationen aus Webbrowsern, Krypto-Wallets, Messaging-Apps, FTP-Clients, E-Mail-Clients, VPN-Diensten und Passwortmanagern stehlen.
Lumma-Stealer-Angriffe mit gleicher Technik
Das AhnLab Security Intelligence Center (ASEC) hat kürzlich auch Lumma-Stealer-Angriffe beobachtet, die dieselbe Technik nutzen. Dies ermöglicht es den Angreifern, die C2-Domänen jederzeit zu ändern und ihre Infrastruktur widerstandsfähiger zu machen.
Die Enthüllung erfolgt zu einem Zeitpunkt, an dem CrowdStrike entdeckt hat, dass Bedrohungsakteure die jüngste Update-Panne nutzen, um eine bisher unbekannte Informationsdiebstahl-Software namens Daolpu zu verbreiten. Dies zeigt die anhaltenden Auswirkungen eines fehlerhaften Updates, das Millionen von Windows-Geräten beeinträchtigt hat. Der Angriff verwendet ein Microsoft Word-Dokument mit Makros, das sich als offizielles Wiederherstellungshandbuch von Microsoft ausgibt. Dieses Dokument enthält vermeintlich legitime Anweisungen zur Problemlösung und dient als Köder für die Infektion. Beim Öffnen der DOCM-Datei wird ein Makro ausgeführt, das eine DLL-Datei der zweiten Angriffsstufe aus dem Internet lädt. Diese DLL wird dekodiert, um Daolpu zu starten, eine Malware, die Anmeldedaten und Cookies von Google Chrome, Microsoft Edge, Mozilla Firefox und anderen Chromium-basierten Browsern ausliest.
Der Angriff folgt auch auf das Auftreten neuer Stealer-Malware-Familien wie Braodo und DeerStealer. Cyberkriminelle nutzen Malvertising-Techniken, um mit der Bewerbung legitimer Software wie Microsoft Teams den Atomic Stealer zu verteilen. „Da Cyberkriminelle ihre Verbreitungskampagnen immer weiter ausbauen, wird es zunehmend gefährlicher, Anwendungen über Suchmaschinen herunterzuladen“, warnt Malwarebytes-Security-Spezialist Jérôme Segura. „Nutzer müssen zwischen Malvertising (gesponserten Ergebnissen) und SEO Poisoning (kompromittierten Websites) navigieren.“