Hacker nutzen aktiv eine bekannte Schwachstelle in Microsoft SmartScreen, um Schadsoftware zu verbreiten.
Dies geht aus einem neuen Bericht des Cybersicherheitsforschers Cyble hervor, der in einem kürzlich erschienenen Blog-Beitrag, in dem die neuesten Kampagnen detailliert beschrieben wurden, die Benutzer dazu aufforderte, den Patch umgehend anzuwenden, da Microsoft dieses Problem bereits vor Monaten behoben hatte.
Microsoft SmartScreen ist eine Sicherheitsfunktion, die der Riese aus Redmond in verschiedene Microsoft-Produkte integriert hat, darunter Windows, Microsoft Edge und Outlook. Durch die Analyse von Websites und heruntergeladenen Dateien bietet es Schutz vor Phishing- und Malware-Angriffen.
Lumma- und Meduza-Dieb
Mitte Januar 2024 beobachtete die Zero Day Initiative (ZDI) jedoch, dass Bedrohungsakteure einen Fehler in der Funktion missbrauchten, um den DarkGate-Commodity-Loader bereitzustellen. Die Schwachstelle wird nun als CVE-2024-21412 verfolgt und als „Sicherheitslücke zur Umgehung der Internet-Shortcut-Dateien“ beschrieben. Mit anderen Worten: Bedrohungsakteure können die Sicherheitsfunktionen von SmartScreen umgehen, indem sie ihre Opfer dazu bringen, auf speziell gestaltete Internet-Links zu klicken.
Microsoft hat am 13. Februar dieses Jahres einen Patch für die Sicherheitslücke herausgegeben, aber anscheinend haben viele Benutzer ihn nicht angewendet und sind weiterhin gefährdet. Sie geraten nun ins Visier von Betrügern, die mehrere Infostealer einsetzen wollen.
Diese neue Kampagne beginnt mit Phishing-E-Mails, die scheinbar von vertrauenswürdigen Quellen stammen. Sie enthalten Internetverknüpfungen, die auf einer Remote-WebDAV-Freigabe gehostet werden. Wenn diese angeklickt werden, wird eine andere auf derselben Freigabe gehostete .LNK-Datei ausgeführt, wodurch die Infektionskette ausgelöst wird. Die Kette endet damit, dass die Opfer mit Lumma und Meduza Stealer infiziert werden.
Dabei handelt es sich um beliebte Infostealer, die Passwörter, Cookies, Kreditkarteninformationen, Kryptowallet-Daten, VPN-Anmeldeinformationen, FTP-Anmeldeinformationen, Browser-AutoFill-Daten, vertrauliche Dokumente, Screenshots, Systeminformationen und mehr abgreifen können.
Die Forscher wissen nicht genau, wie viele Menschen dieser Kampagne zum Opfer fielen. Sie wissen jedoch, dass die Bedrohungsakteure ein breites Spektrum an Einzelpersonen und Organisationen in verschiedenen Regionen und Sektoren ins Visier nehmen. Basierend auf den gefälschten Dokumenten, die in den Phishing-E-Mails verbreitet werden, haben die Angreifer es auf Personen in Spanien, den Vereinigten Staaten und Australien abgesehen.
