Pesquisadores de cibersegurança identificaram uma campanha ativa explorando a vulnerabilidade do Microsoft SmartScreen (CVE-2024-21412). Esta campanha em andamento visa várias regiões, incluindo Espanha, EUA e Austrália, utilizando iscas relacionadas a esquemas de seguro saúde, avisos de transporte e comunicações fiscais para enganar indivíduos e organizações a baixar cargas maliciosas em seus sistemas.

A infecção começa com um e-mail de spam contendo um link que redireciona os usuários para um compartilhamento WebDAV usando um protocolo de busca, enganando-os para executar um arquivo de atalho da internet malicioso, explorando a CVE-2024-21412. Os atacantes realizam um ataque em múltiplas etapas utilizando ferramentas legítimas como forfiles.exe, PowerShell, mshta e outros arquivos confiáveis para contornar as medidas de segurança.

A cadeia de ataque utiliza DLL sideloading e IDATLoader para injetar a carga final no explorer.exe. Esta campanha entrega Lumma e Meduza Stealer como cargas finais.

Em janeiro de 2024, foi descoberta uma sofisticada campanha DarkGate explorando a CVE-2024-21412 através de instaladores de software falsos. Em 13 de fevereiro de 2024, a Microsoft corrigiu esta vulnerabilidade no Microsoft Defender SmartScreen, que envolvia atalhos de internet.

Recentemente, foi detectada uma campanha ativa abusando de atalhos de internet (URL). Para mitigar esses riscos, é essencial que usuários e administradores mantenham seus sistemas atualizados com os últimos patches de segurança e estejam vigilantes contra e-mails de phishing.