Faille SmartScreen exploité : Voleurs d’infos en action!

Une nouvelle campagne de logiciels malveillants exploitant une faille de Microsoft

Une faille de sécurité désormais corrigée dans Microsoft Defender SmartScreen a été exploitée dans une récente campagne visant à déployer des logiciels voleurs d’informations comme ACR Stealer, Lumma, et Meduza. Fortinet FortiGuard Labs a détecté cette campagne qui cible l’Espagne, la Thaïlande et les États-Unis via des fichiers piégés exploitant la vulnérabilité CVE-2024-21412, notée 8,1 sur l’échelle CVSS.

Cette faille, de haute sévérité, permet à un attaquant de contourner la protection SmartScreen pour diffuser des charges utiles malveillantes. Microsoft a abordé ce problème dans ses mises à jour mensuelles de sécurité publiées en février 2024. Selon la chercheuse en sécurité Cara Lin, les attaquants incitent initialement les victimes à cliquer sur un lien conçu pour télécharger un fichier LNK, qui à son tour télécharge un fichier exécutable contenant un script HTML Application (HTA).

Ce fichier HTA permet de décoder et décrypter un code PowerShell chargé de récupérer un fichier PDF leurre et un injecteur de code shell, ce qui peut conduire au déploiement du voleur Meduza ou du chargeur Hijack. Ce dernier lance ensuite le voleur ACR ou Lumma.

Les différentes techniques des voleurs d’informations

Le voleur ACR, dérivé du GrMsk Stealer, a été promu en mars 2024 par un acteur nommé ShieldIO sur un forum clandestin en langue russe. Ce voleur utilise une technique de « dead drop resolver (DDR) » sur le site de la communauté Steam pour masquer sa commande et son contrôle. Il est capable de siphonner des informations provenant des navigateurs web, portefeuilles cryptographiques, applications de messagerie, clients FTP, clients de messagerie électronique, services VPN et gestionnaires de mots de passe.

Lumma Stealer a également été récemment observé utilisant une technique similaire, ce qui permet aux attaquants de changer de domaines de commande et de contrôle (C2) à tout moment. D’après le Centre de sécurité d’AhnLab (ASEC), cette technique renforce la résilience de l’infrastructure de l’attaque.

Par ailleurs, CrowdStrike a révélé que des acteurs malveillants profitent de la panne de la semaine dernière pour diffuser un nouveau voleur d’informations, Daolpu. L’attaque utilise un document Microsoft Word contenant une macro, déguisé en manual de récupération de Microsoft. Lorsque ce fichier est ouvert, la macro télécharge un fichier DLL à partir d’un site distant pour lancer Daolpu. Ce malware est conçu pour collecter des identifiants et des cookies depuis Google Chrome, Microsoft Edge, Mozilla Firefox et d’autres navigateurs basés sur Chromium.

De plus, de nouvelles familles de malwares voleurs, telles que Braodo et DeerStealer, ont émergé, tandis que les cybercriminels exploitent des techniques de malvertising pour promouvoir des logiciels légitimes comme Microsoft Teams et déployer le voleur Atomic Stealer. Selon le chercheur Jérôme Segura de Malwarebytes, « télécharger des applications via des moteurs de recherche devient de plus en plus dangereux« . Les utilisateurs doivent naviguer entre le malvertising (résultats sponsorisés) et l’empoisonnement SEO (sites web compromis).

Implications sécuritaires : Ce que vous devez savoir

L’exploitation de la vulnérabilité CVE-2024-21412 présente des risques significatifs tant pour les entreprises que pour les particuliers. Les voleurs d’informations comme ACR Stealer, Lumma et Meduza peuvent accéder à des données sensibles, compromettant ainsi la confidentialité et l’intégrité des informations personnelles et professionnelles. Les informations collectées pourraient être utilisées pour des activités malveillantes telles que le chantage, la fraude financière ou même l’espionnage industriel. Les entités affectées pourraient également subir des pertes financières et une détérioration de leur réputation.

Protégez-vous : Étapes clés contre les nouvelles vulnérabilités

Pour se protéger contre ces nouvelles menaces, il est crucial de maintenir vos logiciels et systèmes à jour en installant les dernières mises à jour de sécurité publiées par des fournisseurs comme Microsoft. Utilisez des solutions de sécurité robustes et configurez des pare-feu pour surveiller et bloquer les activités suspectes. Sensibilisez les employés et utilisateurs sur l’importance de ne pas cliquer sur des liens ou télécharger des fichiers provenant de sources inconnues. Enfin, sauvegardez régulièrement vos données pour minimiser les impacts en cas de compromissions. En suivant ces mesures, vous réduirez efficacement les risques d’exploitation de ces vulnérabilités et protégerez vos informations sensibles.

Sources

• CVE-2024-21412
• Microsoft Defender SmartScreen bug

Suivez-nous sur Twitter et LinkedIn pour plus de contenus exclusifs.