Recientemente, se ha descubierto y parcheado una vulnerabilidad crítica en Microsoft Defender SmartScreen, una herramienta diseñada para proteger a los usuarios de sitios web maliciosos y ataques de phishing. Esta falla, conocida como CVE-2024-21412 y con una puntuación CVSS de 8,1, ha sido utilizada por cibercriminales para lanzar una campaña de distribución de malware, afectando a usuarios en España, Tailandia y Estados Unidos. Los programas maliciosos identificados en esta campaña incluyen ladrones de información como ACR Stealer, Lumma y Meduza.
Desglose del Ataque: Desde el HTA hasta el Inyector de Shellcode
El proceso de ataque comienza con la distribución de un archivo HTA a través de canales de phishing o enlaces engañosos. Una vez que el usuario abre el archivo, se ejecuta un script de PowerShell oculto que descarga un archivo PDF aparentemente inofensivo y un inyector de shellcode. Este shellcode es una pieza de software que inserta instrucciones maliciosas en la memoria de un proceso legítimo en el sistema de la víctima, facilitando así la instalación de Meduza Stealer o Hijack Loader.
Meduza Stealer y Hijack Loader son piezas de malware diseñadas para preparar el sistema para la llegada de otros programas maliciosos. En este caso, se utilizan para desplegar ACR Stealer o Lumma, ambos conocidos por sus capacidades para robar información sensible de los sistemas infectados.
Microsoft Defender SmartScreen es una característica de seguridad integrada en los navegadores Edge y otros productos de Microsoft. Su principal función es proteger a los usuarios de sitios web maliciosos y descargas peligrosas, analizando URLs y archivos en busca de comportamientos sospechosos. Sin embargo, la vulnerabilidad CVE-2024-21412 permitía a los atacantes eludir esta protección, exponiendo a los usuarios a potenciales ataques.
Conoce más sobre: Infostealer: Un Ataque al Acecho
ACR Stealer: Una Amenaza Evolucionada
ACR Stealer, considerado una evolución del conocido GrMsk Stealer, fue anunciado en marzo de 2024 en el foro clandestino ruso RAMP por un actor de amenazas que opera bajo el nombre de ShelIO. Este ladrón de información ha sido diseñado para extraer datos valiosos de una amplia gama de fuentes, incluyendo navegadores web, billeteras de criptomonedas, aplicaciones de mensajería, clientes FTP, clientes de correo electrónico, servicios VPN y administradores de contraseñas.
Una característica notable de ACR Stealer es su uso de una técnica avanzada conocida como resolución de punto muerto (Dead Drop Resolver, DDR). Esta técnica oculta las comunicaciones de comando y control (C2) del malware utilizando una plataforma legítima, en este caso, el sitio web de la comunidad Steam. Al hacerlo, el malware se disfraza como tráfico de red benigno, lo que dificulta su detección por parte de las herramientas de seguridad convencionales.
Es importante destacar que se han detectado ataques recientes de Lumma Stealer que emplean una técnica similar, permitiendo a los atacantes cambiar los dominios C2 en cualquier momento. Esto hace que su infraestructura sea más resistente y difícil de rastrear.
Podría interesarte leer: Malware Lumma Stealer utiliza trigonometría para evadir detección
Conclusión y Medidas de Protección
Esta campaña se centra principalmente en explotar la vulnerabilidad CVE-2024-21412 mediante el uso de archivos LNK que descargan archivos ejecutables con código de script HTA integrado. El script HTA se ejecuta silenciosamente, evitando las ventanas emergentes, y descarga de manera encubierta dos archivos: un PDF señuelo y un ejecutable diseñado para inyectar código de shell, preparando así el terreno para la implementación de malware de robo de datos.
Para mitigar estas amenazas, las organizaciones deben educar a sus trabajadores sobre los riesgos de descargar y ejecutar archivos de fuentes no verificadas. La constante evolución de las tácticas de los actores de amenazas requiere una estrategia de ciberseguridad sólida y proactiva. Es fundamental adoptar medidas proactivas, fomentar la concienciación de los usuarios y establecer protocolos de seguridad estrictos para proteger los activos digitales de la organización.