Una vulnerabilidad en Microsoft SmartScreen, conocida desde febrero, está siendo utilizada por actores maliciosos para inyectar programas de robo de información en las máquinas de los usuarios y permite la infiltración a través de Windows Defender y compromete los dispositivos.

Los atacantes están explotando activamente este problema que afecta a una vulnerabilidad conocida y para la que Microsoft sacó un parche el pasado 14 de febrero. Esta vulnerabilidad existente en Microsoft SmartScreen está siendo utilizada para desplegar malware. Esta vulnerabilidad está identificada con el CVE-2024-21412, Internet Shortcut Files Security Feature Bypass Vulnerability.

Los documentos de señuelo utilizados en la campaña apuntan a contribuyentes españoles, compañías de transporte con correos electrónicos supuestamente del Departamento de Transporte de EE. UU. y usuarios en Australia imitando formularios oficiales de inscripción en Medicare.

¿Qué es Microsoft SmartScreen?

Microsoft SmartScreen es una característica de seguridad integrada en una gran variedad de productos de Microsoft, incluyendo Windows, Microsoft Edge y Outlook. Esta función analiza sitios web y archivos descargados para proteger contra ataques de phishing y malware. Sin embargo, en enero de 2024, la Iniciativa Zero Day (ZDI) observó que actores maliciosos podían abusar de un fallo de esta característica permitiendo eludir las características de seguridad de SmartScreen haciendo que las víctimas hagan clic en enlaces de internet especialmente diseñados.

Cadena de ataque sofisticada

La imagen muestra la cadena de infección sofisticada observada por los investigadores de Cyble Research and Intelligence Labs (CRIL) en los últimos ataques.

Esta nueva campaña comienza con correos electrónicos de phishing, aparentemente provenientes de fuentes confiables. Contienen accesos directos a internet alojados en una compartición remota de WebDAV que, si se hace clic en ellos, ejecutan otro archivo .LNK. Es un archivo de acceso directo que contiene una referencia a otro archivo o directorio en el sistema, esta acción desencadena una infección de la que se pueden aprovechar agentes como Lumma y Meduza Stealer, populares infostealers que pueden capturar contraseñas, cookies, información de tarjetas de crédito, datos de criptomonedas, credenciales de VPN, credenciales de FTP, datos de autocompletar del navegador, documentos sensibles, capturas de pantalla, información del sistema y más.

Al ejecutarse, el archivo LNK malicioso activa la utilidad forfiles, que busca el archivo «win.ini» en el directorio C:\Windows. Si lo encuentra, forfiles.exe ejecuta un comando PowerShell con «mshta.exe» para ejecutar un archivo malicioso remoto llamado «dialer.exe». Este archivo contiene JavaScript malicioso que decodifica y ejecuta un script de PowerShell, el cual descarga un documento señuelo y un archivo instalador 7z del servidor remoto. Luego, el script de PowerShell abre el documento señuelo y ejecuta el archivo instalador.

«En esta campaña, el contenido inyectado, reconocido como Lumma y Meduza Stealer, lleva a cabo operaciones maliciosas en los sistemas comprometidos». Dijeron los investigadores de Cyble.

Este script descarga un documento señuelo y un instalador 7z, los abre y ejecuta. El instalador deja archivos adicionales, incluyendo DLLs limpias y maliciosas, y un cargador IDAT cifrado, realizando operaciones maliciosas como Lumma y Meduza Stealer en los sistemas comprometidos.

Recordamos que es vital tener nuestros sistemas actualizados y nunca clicar en links desconocidos.

Más información:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
• https://www.techradar.com/pro/security/microsoft-smartscreen-vulnerability-can-be-abused-to-deploy-malware-and-its-happening-in-the-wild
• https://thecyberexpress.com/microsoft-smartscreen-vulnerability/