Обязательно нажмите на ссылку
Ошибка в штатном антивирусе Microsoft Defender, в частности, его компоненте SmartScreen, обеспечивала киберзлоумышленникам возможность распространять ряд вредоносов-инфостилеров (программ для кражи данных), в том числе ACR Stealer, Lumma и Meduza и других программ.
Проблема была вызвана некорректным срабатыванием (или полным несрабатыванием) защитного экрана Windows Defender.
Высокоопасная (8,1 балла по шкале CVSS) уязвимость CVE-2024-21412 была выявлена и устранена Microsoft в начале 2024 г. К сожалению, еще до того, как о ней стало известно вендору, злоумышленники активно ею пользовались. В частности, группировка Water Hydra/DarkCasino с ее помощью распространяла вредонос DarkMe, атаковавший финансовые рынки с конца 2023 г.
Эксплуатация уязвимости возможна с помощью отправки жертве специально составленного файла, который позволял обходить защитные средства Windows Defender. Злоумышленнику, впрочем, требовалось убедить жертву открыть ссылку для просмотра содержимого этого файла. Это означало необходимость применения социальной инженерии и снижало оцениваемую степень угрозы.
Эксперты Trend Micro задокументировали в 2024 г. процедуру заражения. Все начиналось с рассылки по трейдерским форумам ссылки на адрес, который якобы вел на некую биржевую диаграмму; вместо изображения жертвам подсовывался файл-ссылка photo_2023-12-29.jpg.url, при нажатии на который жертве скачивался вредоносный инсталлятор 7z.msi, якобы представляющий собой инсталлятор архиватора 7zip.
Нормальные герои всегда идут в обход
«Лендинговая страница на fxbulls[.]ru содержит ссылку на вредоносный общий ресурс WebDAV с отфильтрованным представлением, – писали исследователи безопасности Питер Гирнас (Piter Girnas), Алиакбар Захрави (Ali Akbar Zahravi) и Саймон Цукербраун (Simon Zuckerbraun). – Когда пользователь пытается открыть эту ссылку, браузер предлагает им просмотреть ее в прямо в проводнике Windows. Поскольку это не предупреждение системы безопасности, пользователь может и не заподозрить, что ссылка вредоносная».
Смысл трюка заключается в злоупотреблении функции «search: application protocol» («поиск: протокол приложения»), которая используется для вызова приложения поиска на рабочем столе в Windows. В прошлом ее уже неоднократно использовали для доставки и установки вредоносного ПО.
Подменный файл ярлыка сетевого ресурса (internet shortcut), в свою очередь, указывает на другой аналогичный файл, располагающийся на удаленном сервере (2.url), а тот, в свою очередь, указывает на сценарий оболочки CMD в ZIP-архиве, размещенном на том же сервере (a2.zip/a2.cmd).
Смысл этих переадресаций состоит в том, что вызов одного файла-ярлыка другим оказывается достаточно, чтобы обойти SmartScreen: он некорректно применяет критический механизм Mark of the Web (MotW), из-за чего доставка вредоноса оказывается беспроблемной для злоумышленников.
Так распространялся DarkMe, и сходным образом осуществлялось распространение инфостилеров. При нажатии жертвой на файл .url закачивался файл .lnk, который, в свою очередь, загружает и запускает файл, содержащий скрипт HTML Application (HTA).
Последний из этой цепочки файл распаковывает и расшифровывает скрипт PowerShell, который сгружает с удаленного сервера файл-обманку с расширением PDF, а также инъектор shell-кода, который либо напрямую устанавливает в систему инфостилер Meduza, либо подтягивает загрузчик Hijack Loader, через который запускаются ACR Stealer или Lumma.
«Многоэтапные цепочки заражения – прием, давно используемый злоумышленниками для того, чтобы сбивать с толку защитные средства, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – Однако ситуация, когда антивирус попросту не срабатывает там, где вроде бы обязан, – заставляет задуматься, как и при каких условиях подобный казус может повториться».
Ловушка привычного антивируса
Эксперт добавил, впрочем, что лишь очень небольшой процент пользователей задумается о том, чтобы заменить штатный антивирус Windows на что-то другое.
По данным экспертов компании Fortinet, ACR Stealer является, по-видимому, вариантом GrMsk Stealer; его начали рекламировать на русскоязычном хакерском форуме RAMP в конце марта 2024 г. ACR Stealer маскирует свой контрольный сервер, используя метод «drop dead resolver».
Это метод атаки, при котором злоумышленники размещают на легитимных веб-сервисах (в случае ACR – это сайт сообщества на сервисе Steam) контент со встроенными вредоносными доменами или IP-адресами. Вредоносный код не содержит адрес C&C-сервера. Вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку бессодержательных, на первый взгляд, символов, которые, на самом деле, представляют собой шифр для активации следующего этапа атаки.
Вредонос способен красть данные из веб-браузеров, криптокошельков, мессенджеров, почтовых и FTP-клиентов, VPN-служб и даже менеджеров паролей.
Поделиться
