O Microsoft Windows Defender SmartScreen é responsável por proteger seu computador contra sites e aplicativos de phishing ou malware — também evita o download de arquivos potencialmente maliciosos. Presente em todos os PCs com Windows, o problema está em uma nova campanha cibercriminosa que abusa da vulnerabilidade CVE-2024-21412 para superar suas barreiras de segurança e roubar dados dos usuários.
Segundo pesquisadores da Laboratórios FortiGuard, essa vulnerabilidade dá aos criminosos a capacidade de injetar malware e outros softwares maliciosos em um sistema. À medida que você percebe o HackReadAnteriormente, essa vulnerabilidade já foi explorada por ladrões como Lumma e Meduza — que retorna em uma nova versão.
Os alvos incluem serviços como Google Chrome, carteiras de criptomoedas, WhatsApp, Telegram, plataformas de e-mail e gerenciadores de senhas
“CVE-2024-21412 é uma vulnerabilidade de desvio de segurança no Microsoft Windows SmartScreen que surge de um erro no manuseio de arquivos criados com códigos maliciosos. Um invasor remoto poderia explorar essa falha para contornar a caixa de diálogo de aviso de segurança do SmartScreen e entregar arquivos criminosos”, apontam os pesquisadores do FortiGuard.
Até o momento, apenas sistemas localizados na América do Norte, Espanha e Tailândia sofreram com este tipo de ataque. Entre os alvos do ladrão estão serviços como Google Chrome, carteiras de criptomoedas, WhatsApp, Telegram, plataformas de e-mail e gerenciadores de senhas.
A exploração é bem sucedida após a vítima abrir um link falso “com um arquivo PDF”: siga o modus operandi abaixo.
Caminho do crime
A técnica do caminho do crime
O modus operandi é o seguinte: os invasores enganam as vítimas com uma mensagem, enviando um Arquivo URL que baixa outro arquivo LNK (phishing).
O arquivo LNK possui um executável com script HTA que descriptografa e descriptografa o código do PowerShell para restaurar os URLs finais, envie arquivos PDF falsos e injete código shell malicioso. O FortiGuard afirma que esses arquivos são os responsáveis finais por incluir o ladrão (o programa que rouba dados) em processos legítimos. Ao final da coleta, os dados são enviados para um servidor de Comando e Controle (C2).
Vamos resumir: isso significa que temos um ataque inicial de phishing. O phishing envolve mensagens falsas enviadas a uma vítima e pode conter vários meios de roubo de dados ou injeção de malware. Neste caso, enviando arquivos maliciosos para um PC com Windows.
Após o download, o arquivo LNK (um atalho que representa uma referência a um arquivo original) usa comandos do PowerShell (automação de tarefas multiplataforma) para executar um script HTA (aplicativo HTML) disfarçado como um ícone de sobreposição.
No final da jornada, a vítima se depara com um PDF falso baixado silenciosamente por um script do PowerShell. É esse PDF que libera um injetor de código shell e permite a entrada do ladrão – um malware ladrão é um programa capaz de roubar informações salvas em navegadores da web ou outros diretórios do seu sistema.
Os pesquisadores do FortiGuard também observam que dois tipos de injetores de código shell foram identificados: o primeiro usa uma imagem para obter código e voa baixo nas detecções do VirusTotal. O segundo baixa uma imagem JPG do site Imghippo e usa a API “GdipBitmapGetPixel” para acessar pixels e decodificar bytes para chegar ao código shell.
Entre as versões de stealer encontradas estão Meduza Stealer 2.9 e ACR
Resumo do golpe: A campanha tem como alvo principal o CVE-2024-21412 para espalhar arquivos LNK que baixam arquivos de execução que incorporam código de script HTA em suas sobreposições. O script HTA é executado silenciosamente, evitando janelas pop-up, e baixa sub-repticiamente dois arquivos: um PDF isca e um arquivo de execução projetado para injetar código shell, preparando assim o sistema para receber o malware e entregar dados do usuário.
Para manter seu sistema protegido, é fundamental atualizar o Windows com os pacotes de segurança mais recentes. É claro que as medidas preventivas padrão em relação a mensagens falsas e download de arquivos desconhecidos devem continuar.
Vale ressaltar também que as soluções antivírus existentes no mercado já possuem a capacidade de identificar golpes que tentam abusar da vulnerabilidade CVE-2024-21412. O grande problema de tudo isso reside na falta de atualização e educação cibernética — a segurança cibernética precisa ser proativa.
Ladrão de Meduza
Alvos
Acompanhe agora os serviços que são alvo do ladrão:
Navegadores: Google Chrome, Google Chrome SxS, Google Chrome Beta, Google Chrome Dev, Google Chrome instável, Google Chrome Canary, Epic Privacy Browser, Vivaldi, 360Browser Browser, CocCoc Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa , Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements Browser, MapleStudio ChromePlus, Maxthon3, Amigo, Brave-Browser, Microsoft Edge, Opera Stable, Opera GX Stable, Opera Neon, Mozilla Firefox, BlackHawk e TorBro.
Carteiras de criptomoedas: Bitcoin, Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin , YACoin, Dogecoin, ElectronCash, MultiDoge, com.liberty.jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, Zcash, Guarda, WalletWasabi e Monero.
Mensageiros: Telegram, Pidgin, Signal, Tox, Psi, Psi+ e WhatsApp.
Clientes FTP: FileZilla, GoFTP, UltraFXP, NetDrive, FTP Now, DeluxeFTP, FTPGetter, Steed, Estsoft ALFTP, BitKinex, plug-ins Notepad++ NppFTP, FTPBox, INSoftware NovaFTP e BlazeFtp.
Clientes de e-mail: Mailbird, eM Client, The Bat!, PMAIL, Opera Mail, yMail2, TrulyMail, Pocomail e Thunderbird.
Serviços VPN: NordVPN e AzireVPN.
Cofres de senha: Bitwarden, NordPass, 1Password e RoboForm.
Outras plataformas: AnyDesk, MySQL Workbench, GHISLER, Sticky Notes, Notezilla, To-Do DeskList, snowflake-ssh e GmailNotifierPro.
Novamente, para acompanhar detalhadamente a investigação do FortiGuard, Aqui está o link.
empréstimo consignado descontado em folha de pagamento
zap empréstimo
simular empréstimo fgts bradesco
empréstimo auxílio brasil 2023
limite para empréstimo consignado
nova margem consignavel
empréstimo em belo horizonte
