新的窃取者活动利用Windows SmartScreen漏洞(CVE-2024-21412) – 此次大规模攻击针对Windows用户，窃取密码、浏览历史记录和加密钱包详细信息。

FortiGuard实验室发现了一个针对Microsoft Windows用户的大规模窃取活动。该活动利用已知漏洞(CVE-2024-21412)绕过安全措施并窃取敏感数据。

CVE-2024-21412是Microsoft Windows SmartScreen中的一个安全绕过漏洞，该功能旨在提醒用户注意可能不安全的应用程序或网站。该漏洞允许远程攻击者绕过SmartScreen安全警告对话框并传播恶意文件。

Fortinet研究人员指出，在过去的一年中，包括Lumma Stealer和Meduza Stealer在内的多个攻击者都利用了此漏洞。

根据FortiGuard Labs在2024年7月23日发布之前分享的报告，此活动传播了多个利用CVE-2024-21412下载恶意可执行文件的文件。以下是攻击顺序。

1. 初始网络钓鱼：该活动以包含恶意链接的网络钓鱼电子邮件开始。单击该链接会下载URL文件，进而下载LNK文件。
2. LNK文件执行：LNK文件利用PowerShell命令下载伪装成覆盖图标的HTA脚本。
3. HTA脚本解码有效负载：HTA脚本检索并执行隐藏的PowerShell脚本，该脚本静默运行并下载诱饵PDF和恶意shell代码注入器，将最终的窃取程序注入合法进程。
4. Shellcode注入：已发现两种类型的注入器。第一种注入器使用图像文件获取Shell代码，在VirusTotal上的检测率较低。第二种注入器从Imghippo网站下载JPG文件，并使用Windows API“GdipBitmapGetPixel”访问像素并解码字节以获取Shell代码。另一种注入器更直接，从数据部分解密其代码并使用一系列Windows API函数执行Shell代码注入。
5. 窃取程序部署：注入的代码下载并安装信息窃取恶意软件，例如Meduza Stealer 2.9版或ACR Stealer。

ACR Stealer针对各种应用程序，包括浏览器、加密钱包、即时通讯、FTP客户端、电子邮件客户端、VPN服务、密码管理器和其他工具。窃取者可以调整合法的Web服务以保持与其C2服务器的通信。该活动似乎针对特定地区，诱饵PDF针对北美、西班牙和泰国量身定制。

实施Microsoft的最新安全更新以解决CVE-2024-21412漏洞对于保持保护至关重要。用户应谨慎对待网络钓鱼链接和下载未知文件。电子邮件安全解决方案可以检测和阻止网络钓鱼尝试。全面的安全套件可以提供实时恶意软件防护。

目标应用程序的完整列表可在此处查看。

Menlo Security的网络安全专家Ngoc Bui先生对最近的事态发展发表了评论，他指出：

“最近发现的CVE-2024-21412揭示了针对Microsoft SmartScreen的网络威胁的持续性和不断演变性。这表明攻击者不断改进他们的策略以绕过传统的安全措施并向高价值目标投放恶意负载。这凸显了主动威胁情报和分层防御的必要性，以防范这些复杂的攻击。”