Uma vulnerabilidade de segurança, agora corrigida, no Microsoft Defender SmartScreen foi explorada em uma nova campanha destinada a entregar stealers de informações, como ACR Stealer, Lumma e Meduza. A vulnerabilidade de alta gravidade permite que um invasor contorne a proteção do SmartScreen e entregue cargas maliciosas. A Microsoft abordou essa questão como parte de suas atualizações de segurança mensais lançadas em fevereiro de 2024.

“Inicialmente, os atacantes atraem as vítimas a clicar em um link elaborado para um arquivo URL projetado para baixar um arquivo LNK,” disse a pesquisadora de segurança Cara Lin. “O arquivo LNK então baixa um arquivo executável contendo um script de [HTML Application].” O arquivo HTA serve como um canal para decodificar e descriptografar o código PowerShell responsável por buscar um arquivo PDF de isca e um injetor de shellcode que, por sua vez, leva ao desenvolvimento do Meduza Stealer ou Hijack Loader, que subsequentemente lança o ACR Stealer ou Lumma.

Ataques recentes do Lumma Stealer também foram observados utilizando a mesma técnica, facilitando a alteração dos domínios C2 a qualquer momento e tornando a infraestrutura mais resiliente, segundo o AhnLab Security Intelligence Center (ASEC). A divulgação ocorre enquanto a CrowdStrike revelou que atores de ameaça estão aproveitando a interrupção da semana passada para distribuir um stealer de informações até então não documentado chamado Daolpu, tornando-se o exemplo mais recente das consequências contínuas decorrentes da atualização defeituosa que paralisou milhões de dispositivos Windows. O ataque envolve o uso de um documento Microsoft Word com macros que se disfarça como um manual de recuperação da Microsoft listando instruções legítimas emitidas pelo fabricante do Windows para resolver o problema, utilizando-o como isca para ativar o processo de infecção.