A CVE-2024-21412 é uma vulnerabilidade de bypass de segurança no Microsoft Windows SmartScreen que surge de um erro no manuseio de arquivos maliciosos. Um invasor remoto pode explorar essa falha para contornar o aviso de segurança do SmartScreen e entregar arquivos maliciosos. No último ano, vários atacantes, incluindo Water Hydra, Lumma Stealer e Meduza Stealer, exploraram essa vulnerabilidade.
O FortiGuard Labs observou uma campanha de roubo que espalha múltiplos arquivos explorando a CVE-2024-21412 para baixar arquivos executáveis maliciosos. Inicialmente, os atacantes atraem as vítimas a clicarem em um link especialmente criado para um arquivo URL, que por sua vez, baixa um arquivo LNK.
Esse arquivo LNK então baixa um arquivo executável contendo um script HTA. Uma vez executado, o script decodifica e descriptografa um código PowerShell para recuperar URLs finais, arquivos PDF de isca e um injetor de código malicioso. Esses arquivos têm como objetivo injetar o stealer final em processos legítimos, iniciando atividades maliciosas e enviando os dados roubados de volta para um servidor de comando e controle (C2).
Figure 1: Telemetry
Figure 2: Attack chain
Os agentes de ameaça desenvolveram diferentes injetores para evadir a detecção e utilizam vários arquivos PDF para direcionar regiões específicas, incluindo América do Norte, Espanha e Tailândia. Este artigo detalha como esses arquivos são construídos e como o injetor funciona.
Acesso Inicial
Para começar, o atacante constrói um link malicioso para um servidor remoto, buscando um arquivo URL com o seguinte conteúdo:
Figure 3: URL files
O arquivo LNK alvo utiliza o comando “forfiles” para invocar o PowerShell, e então executa “mshta” para buscar um arquivo de execução do servidor remoto “hxxps://21centuryart.com.”
Figure 4: LNK file
Durante nossa investigação, coletamos vários arquivos LNK que baixam executáveis semelhantes contendo um script HTA embutido no overlay. Esse script HTA possui WINDOWSTATE=”minimize” e SHOWTASKBAR=”no,” desempenhando um papel crucial na cadeia de infecção ao executar código malicioso adicional e facilitando as próximas etapas do ataque.
Figure 5: HTA script in overlay
Após decodificar e descriptografar o script, um código PowerShell baixa dois arquivos na pasta “%AppData%.” O primeiro é um PDF de isca, um arquivo limpo que desvia a atenção da vítima da atividade maliciosa, e o outro é um arquivo de execução que injeta o código shell para a próxima etapa.
Figure 1: Telemetry
Figure 7: Decoy PDF files
Injetor de Código Shell
Nesta cadeia de ataque, identificamos dois tipos de injetores. O primeiro utiliza um arquivo de imagem para obter um código shell. Até meados de julho, tinha baixas taxas de detecção no VirusTotal.
Figure 8: Shell code injector on VirusTotal
Após uma verificação anti-depuração, começa a baixar um arquivo JPG do site Imghippo, “hxxps://i.imghippo[.]com/files/0hVAM1719847927[.]png.” Ele então usa a API do Windows “GdipBitmapGetPixel” para acessar os pixels e decodificar os bytes para obter o código shell.
Figure 9: Getting the PNG file
Em seguida, chama “dword ptr ss:[ebp-F4]” para o ponto de entrada do código shell. O código shell primeiro obtém todas as APIs de um hash CRC32, cria uma pasta e solta arquivos em “%TEMP%.” Podemos identificar que esses arquivos soltos são HijackLoader, com base nos bytes típicos “\x49\x44\x 41\x54\xC6\xA5\x79\xEA” encontrados nos dados criptografados.
Figure 10: Call shell code's entry point
Figure 11: CRC32 hashes for Windows APIs
Figure 12: Dropping files in the temp folder
Figure 13: Dropped HijackLoader files
O outro injetor é mais direto. Ele descriptografa seu código da seção de dados e utiliza uma série de funções da API do Windows—NtCreateSection, NtMapViewOfSection, NtUnmapViewOfSection, NtMapViewOfSection novamente, e NtProtectVirtualMemory—para realizar a injeção de código shell.
Figure 14: Assembly code for calling shell code
Stealers Finais
Este ataque usa o Meduza Stealer versão 2.9 e o painel encontrado em “hxxp://5[.]42[.]107[.]78/auth/login.”
Figure 15: Meduza Stealer's panel
Também identificamos um ACR stealer carregado pelo HijackLoader. Este ACR stealer oculta seu C2 com uma técnica de resolver de dead drop (DDR) na comunidade Steam, “hxxps://steamcommunity[.]com/profiles/76561199679420718.”
Figure 16: Base64 encoded C2 on Steam
Também encontramos o C2 de outros ACR Stealers no Steam ao procurar pela string específica, “t6t.”
Figure 17: Other ACR Stealer’s C2 server information on Steam
Após recuperar o hostname do C2, o ACR stealer adiciona strings específicas para construir uma URL completa, “hxxps://pcvcf[.]xyz/ujs/a4347708-adfb-411c-8f57-c2c166fcbe1d.” Esta URL então busca a configuração codificada do servidor remoto. Os dados de configuração geralmente contêm informações cruciais, como especificações do alvo e parâmetros operacionais para o stealer. Decodificando o C2 do Steam, o stealer pode adaptar serviços web legítimos para manter comunicações com seu servidor C2.
Figure 18: Decoded ACR Stealer's configuration
Exceto por arquivos de texto locais nos caminhos “Documents” e “Recent,” o ACR Stealer tem os seguintes aplicativos-alvo:
Navegadores: Google Chrome, Google Chrome SxS, Google Chrome Beta, Google Chrome Dev, Google Chrome Unstable, Google Chrome Canary, Epic Privacy Browser, Vivaldi, 360Browser Browser, CocCoc Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa, Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements Browser, MapleStudio ChromePlus, Maxthon3, Amigo, Brave-Browser, Microsoft Edge, Opera Stable, Opera GX Stable, Opera Neon, Mozilla Firefox, BlackHawk e TorBro.
Carteiras de Criptomoedas: Bitcoin, Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Dogecoin, ElectronCash, MultiDoge, com.liberty.jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, Zcash, Guarda, WalletWasabi e Monero.
Mensageiros: Telegram, Pidgin, Signal, Tox, Psi, Psi+ e WhatsApp.
Clientes de FTP: FileZilla, GoFTP, UltraFXP, NetDrive, FTP Now, DeluxeFTP, FTPGetter, Steed, Estsoft ALFTP, BitKinex, plugins do Notepad++ NppFTP, FTPBox, INSoftware NovaFTP e BlazeFtp.
Clientes de Email: Mailbird, eM Client, The Bat!, PMAIL, Opera Mail, yMail2, TrulyMail, Pocomail e Thunderbird.
Serviços de VPN: NordVPN e AzireVPN.
Gerenciadores de Senhas: Bitwarden, NordPass, 1Password e RoboForm.
Outros: AnyDesk, MySQL Workbench, GHISLER, Sticky Notes, Notezilla, To-Do DeskList, snowflake-ssh e GmailNotifierPro.
Extensões do Chrome:
nphplpgoakhhjchkkhmiggakijnkhfnd
apbldaphppcdfbdnnogdikheafliigcf
fldfpgipfncgndfolcbkdeeknbbbnhcc
ckdjpkejmlgmanmmdfeimelghmdfeobe
omaabbefbmiijedngplfjmnooppbclkk
iodngkohgeogpicpibpnaofoeifknfdo
afbcbjpbpfadlkmhmclhkeeodmamcflc
hnefghmjgbmpkjjfhefnenfnejdjneog
lodccjjbdhfakaekdiahmedfbieldgik
fpcamiejgfmmhnhbcafmnefbijblinff
hcflpincpppdclinealmandijcmnkbgn
egdddjbjlcjckiejbbaneobkpgnmpknp
bcopgchhojmggmffilplmbdicgaihlkp
nihlebdlccjjdejgocpogfpheakkpodb
fhmfendgdocmcbmfikdcogofphimnkno
ilbibkgkmlkhgnpgflcjdfefbkpehoom
kpfopkelmapcoipemfendmdcghnegimn
oiaanamcepbccmdfckijjolhlkfocbgj
fhbohimaelbohpjbbldcngcnapndodjp
ldpmmllpgnfdjkmhcficcifgoeopnodc
cnmamaachppnkjgnildpdmkaakejnhae
mbcafoimmibpjgdjboacfhkijdkmjocd
nlbmnnijcnlegkjjpcfjclmcfggfefdm
jbdpelninpfbopdfbppfopcmoepikkgk
amkmjjmmflddogmhpjloimipbofnfjih
onapnnfmpjmbmdcipllnjmjdjfonfjdm
cphhlgmgameodnhkjdmkpanlelnlohao
cfdldlejlcgbgollnbonjgladpgeogab
kncchdigobghenbbaddojjnnaogfppfj
ablbagjepecncofimgjmdpnhnfjiecfm
jojhfeoedkpkglbfimdfabpdfjaoolaf
fdfigkbdjmhpdgffnbdbicdmimfikfig
ffnbelfdoeiohenkjibnmadjiehjhajb
njojblnpemjkgkchnpbfllpofaphbokk
pdgbckgdncnhihllonhnjbdoighgpimk
hjagdglgahihloifacmhaigjnkobnnih
ookjlbkiijinhpmnjffcofjonbfbgaoc
pnlccmojcmeohlpggmfnbbiapkmbliob
mnfifefkajgofkcjkemidiaecocnkjeh
ljfpcifpgbbchoddpjefaipoiigpdmag
flpiciilemghbmfalicajoolhkkenfel
bhghoamapcdpbohphigoooaddinpkbai
jfdlamikmbghhapbgfoogdffldioobgl
gaedmjdfmmahhbjefcbgaolhhanlaolb
nkbihfbeogaeaoehlefnkodbefgpgknn
imloifkgjagghnncjkhggdhalmcnfklk
aiifbnbfobpmeekipheeijimdpnlpgpp
oeljdldpnmdbchonielidgobddffflal
aeachknmefphepccionboohckonoeemg
ilgcnhelpchnceeipipijaljkblbcobl
hpglfhgfnhbgpjdenjgmdgoeiappafln
nngceckbapebfimnlniiiahkandclblb
nknhiehlklippafakaeklbeglecifhad
oboonakemofpalcgghocfoadofidjkkk
dmkamcknogkgcdfhhbddcghachkejeap
fdjamakpfbbddfjaooikfcpapjohcfmg
jnmbobjmhlngoefaiojfljckilhhlhcj
fooolghllnmhmmndgjiamiiodkpenpbb
klnaejjgbibmhlephnhpmaofohgkpgkd
bfogiafebfohielmmehodmfbbebbbpei
ibnejdfjmmkpcnlpebklmnkoeoihofec
lfochlioelphaglamdcakfjemolpichk
ejbalbakoplchlghecdalmeeeajnimhm
hdokiejnpimakedhajhdlcegeplioahd
kjmoohlgokccodicjjfebfomlbljgfhk
naepdomgkenhinolocfifgehidddafch
fnjhmkhhmkbjkkabndcnnogagogbneec
bmikpgodpkclnkgmnpphehdgcimmided
nhnkbkgjikgcigadomkphalanndcapjk
nofkfblpeailgignhkbnapbephdnmbmn
hnfanknocfeofbddgcijnmhnfnkdnaad
jhfjfclepacoldmjmkmdlmganfaalklb
cihmoadaighcejopammfbmddcmdekcje
chgfefjpcobfbnpmiokfjjaglahmnded
bfnaelmomeimhlpmgjnjophhpkkoljpa
igkpcodhieompeloncfnbekccinhapdb
djclckkglechooblngghdinmeemkbgci
cfhdojbkjhnklbpkdaibdccddilifddb
jiidiaalihmmhddjgbnbgdfflelocpak
kmmkllgcgpldbblpnhghdojehhfafhro
lgmpcpglpngdoalbgeoldeajfclnhafa
ibegklajigjlbljkhfpenpfoadebkokl
egjidjbpglichdcondbcbdnbeeppgdph
ijpdbdidkomoophdnnnfoancpbbmpfcn
flhbololhdbnkpnnocoifnopcapiekdi
llalnijpibhkmpdamakhgmcagghgmjab
kkhmbjifakpikpapdiaepgkdephjgnma
mjdmgoiobnbombmnbbdllfncjcmopfnc
ekkhlihjnlmjenikbgmhgjkknoelfped
dlcobpjiigpikoobohmabehhmhfoodbb
jngbikilcgcnfdbmnmnmnleeomffciml
jnlgamecbpmbajjfhmmmlhejkemejdma
hcjginnbdlkdnnahogchmeidnmfckjom
kbdcddcmgoplfockflacnnefaehaiocb
ogphgbfmhodmnmpnaadpbdadldbnmjji
kgdijkcfiglijhaglibaidbipiejjfdp
hhmkpbimapjpajpicehcnmhdgagpfmjc
epapihdplajcdnnkdeiahlgigofloibg
ojhpaddibjnpiefjkbhkfiaedepjheca
mgffkfbidihjpoaomajlbgchddlicgpn
fmhjnpmdlhokfidldlglfhkkfhjdmhgl
ebfidpplhabeedpnhjnobghokpiioolj
gjhohodkpobnogbepojmopnaninookhj
dngmlblcodfobpdpecaadgfbcggfjfnm
hmglflngjlhgibbmcedpdabjmcmboamo
ldinpeekobnhjjdofggfgjlcehhmanlj
eklfjjkfpbnioclagjlmklgkcfmgmbpg
mdjmfdffdcmnoblignmgpommbefadffd
jbkfoedolllekgbhcbcoahefnbanhhlh
aflkmfhebedbjioipglgcbcmnbpgliof
mcohilncbfahbmgdjkbpemcciiolgcge
dmjmllblpcbmniokccdoaiahcdajdjof
jbdaocneiiinmjbjlgalhcelgbejmnid
lnnnmfcpbkafcpgdilckhmhbkkbpkmid
blnieiiffboillknjnepogjhkgnoapac
odpnjmimokcmjgojhnhfcnalnegdjmdn
cjelfplplebdjjenllpjcblmjkfcffne
bopcbmipnjdcdfflfgjdgdjejmgpoaab
fihkakfobkmkjojpchpfgcmhfjnmnfpi
cpmkedoipcpimgecpmgpldfpohjplkpp
kkpllkodjeloidieedojogacfhpaihoh
khpkpbbcccdmmclmpigdgddabeilkdpd
nanjmdknhkinifnkgdcggcfnhdaammmj
mcbigmjiafegjnnogedioegffbooigli
nkddgncdjgjfcddamfgcmfnlhccnimig
fiikommddbeccaoicoejoniammnalkfa
acmacodkjbdgmoleebolmdjonilkdbch
heefohaffomkkkphnlpohglngmbcclhi
phkbamefinggmakgklpkljjmgibohnba
ocjdpmoallmgmjbbogfiiaofphbjgchh
efbglgofoippbgcjepnhiblaibcnclgk
hmeobnfnfcmdkdcmlblgagmfpfboieaf
lpfcbjknijpeeillifnkikgncikgfhdo
kfdniefadaanbjodldohaedphafoffoh
ejjladinnckdgjemekebdpeokbikhfci
kmhcihpebfmpgmihbkipmjlmmioameka
opcgpfmipidbgpenhmajoajpbobppdil
gafhhkghbfjjkeiendhlofajokpaflmk
aholpfdialjgjfhomihkjbmgjidlcdno
kglcipoddmbniebnibibkghfijekllbl
onhogfjeacnfoofkfgppdlbmlmnplgbn
iokeahhehimjnekafflcihljlcjccdbe
mopnmbcafieddcagagdcbnhejhlodfdd
idnnbdplmphpflfnlkomgpfbpcgelopg
fijngjgcjhjmmpcmkeiomlglpeiijkld
kmphdnilpmdejikjdnlbcnmnabepfgkh
hifafgmccdpekplomjjkcfgodnhcellj
cgeeodpfagjceefieflmdfphplkenlfk
ijmpgkjfkbfhoebgogflfebnmejmfbm
pdadjkfkgcafgbceimcpbkalnfnepbnk
lkcjlnjfpbikmcmbachjpdbijejflpcm
odbfpeeihdkbihmopkbjmoonfanlbfcl
onofpnbbkehpmmoabgpcpmigafmmnjh
fhilaheimglignddkjgofkcbgekhenbh
dkdedlpgdmmkkfjabffeganieamfklkm
aodkkagnadcbobfpggfnjeongemjbjca
nlgbhdfgdhgbiamfdfmbikcdghidoadd
dngmlblcodfobpdpecaadgfbcggfjfnm
infeboajgfhgbjpjbeppbkgnabfdkdaf
lpilbniiabackdjcionkobglmddfbcjo
ppbibelpcjmhbdihakflkdcoccbgbkpo
bhhhlbepdkbapadjdnnojkbgioiodbic
klghhnkeealcohjjanjjdaeeggmfmlpl
jnkelfanjkeadonecabehalmbgpfodjm
enabgbdfcbaehmbigakijjabdpdnimlg
jgaaimajipbpdogpdglhaphldakikgef
mmmjbcfofconkannjonfmjjajpllddbg
kppfdiipphfccemcignhifpjkapfbihd
bifidjkcdpgfnlbcjpdkdcnbiooooblg
loinekcabhlmhjjbocijdoimmejangoa
nebnhfamliijlghikdgcigoebonmoibm
anokgmphncpekkhclmingpimjmcooifb
fcfcfllfndlomdhbehjjcoimbgofdncg
cnncmdhjacpkmjmkcafchppbnpnhdmon
ojggmchlghnjlapmfbnjholfjkiidbch
mkpegjkblkkefacfnmkajcjmabijhclg
Conclusão
Esta campanha tem como alvo principal a CVE-2024-21412 para disseminar arquivos LNK que baixam arquivos executáveis contendo código de script HTA embutido em seus overlays. O script HTA é executado silenciosamente, evitando qualquer janela pop-up, e clandestinamente baixa dois arquivos: um PDF de isca e um arquivo executável projetado para injetar código shell, preparando o cenário para os stealers finais.
Para mitigar tais ameaças, as organizações devem educar seus usuários sobre os perigos de baixar e executar arquivos de fontes não verificadas. A contínua inovação por parte dos atores de ameaças exige uma estratégia de cibersegurança robusta e proativa para proteger contra vetores de ataque sofisticados. Medidas proativas, conscientização dos usuários e protocolos de segurança rigorosos são componentes vitais para proteger os ativos digitais de uma organização.
Proteções Fortinet
O malware descrito neste relatório é detectado e bloqueado pelo FortiGuard Antivirus:
LNK/Agent.OQ!tr
LNK/Agent.BNE!tr
LNK/Agent.ACX!tr
W32/Agent.DAT!tr
W64/Agent.EDE6!tr
W32/Agent.AAN!tr
W64/Agent.A8D2!tr
FortiGate, FortiMail, FortiClient e FortiEDR suportam o serviço FortiGuard AntiVirus. O motor FortiGuard AntiVirus faz parte de cada uma dessas soluções. Como resultado, os clientes que possuem esses produtos com proteções atualizadas estão protegidos.
O Serviço de Filtro Web FortiGuard bloqueia os servidores C2 e URLs de download.
O FortiGuard Labs fornece uma assinatura IPS contra ataques que exploram a CVE-2024-21412:
MS.Windows.SmartScreen.CVE-2024-21412.Security.Feature.Bypass
Também sugerimos que as organizações realizem o módulo de treinamento gratuito da Fortinet: NSE 1 – Conscientização sobre Segurança da Informação. Este módulo é projetado para ajudar os usuários finais a aprender a identificar e se proteger contra ataques de phishing.
O Serviço de Reputação de IP e Segurança Anti-Botnet FortiGuard bloqueia proativamente esses ataques, agregando dados de IPs maliciosos da rede distribuída de sensores de ameaças da Fortinet, CERTs, MITRE, concorrentes cooperativos e outras fontes globais que colaboram para fornecer informações de ameaças atualizadas sobre fontes hostis.
Se você acredita que esta ou qualquer outra ameaça de cibersegurança tenha impactado sua organização, entre em contato com a nossa Equipe Global de Resposta a Incidentes FortiGuard.
IOCs
IP Addresses
62[.]133[.]61[.]26
62[.]133[.]61[.]43
5[.]42[.]107[.]78
Hostnames
21centuryart[.]com
scratchedcards[.]com
proffyrobharborye[.]xyz
answerrsdo[.]shop
pcvcf[.]xyz
pcvvf[.]xyz
pdddk[.]xyz
pdddj[.]xyz
pddbj[.]xyz
pbpbj[.]xyz
pbdbj[.]xyz
ptdrf[.]xyz
pqdrf[.]xyz
Files
e15b200048fdddaedb24a84e99d6d7b950be020692c02b46902bf5af8fb50949
547b6e08b0142b4f8d024bac78eb1ff399198a8d8505ce365b352e181fc4a544
bd823f525c128149d70f633e524a06a0c5dc1ca14dd56ca7d2a8404e5a573078
982338768465b79cc8acd873a1be2793fccbaa4f28933bcdf56b1d8aa6919b47
bc6933a8fc324b907e6cf3ded3f76adc27a6ad2445b4f5db1723ac3ec86ed10d
59d2c2ca389ab1ba1fefa4a06b14ae18a8f5b70644158d5ec4fb7a7eac4c0a08
8568226767ac2748eccc7b9832fac33e8aa6bfdc03eafa6a34fb5d81e5992497
4043aa37b5ba577dd99f6ca35c644246094f4f579415652895e6750fb9823bd9
0604e7f0b4f7790053991c33359ad427c9bf74c62bec3e2d16984956d0fb9c19
8c6d355a987bb09307e0af6ac8c3373c1c4cbfbceeeb1159a96a75f19230ede6
de6960d51247844587a21cc0685276f966747e324eb444e6e975b0791556f34f
6c779e427b8d861896eacdeb812f9f388ebd43f587c84a243c7dab9ef65d151c
08c75c6a9582d49ea3fe780509b6f0c9371cfcd0be130bc561fae658b055a671
abc54ff9f6823359071d755b151233c08bc2ed1996148ac61cfb99c7e8392bfe
643dde3f461907a94f145b3cd8fe37dbad63aec85a4e5ed759fe843b9214a8d2
Via - Fortinet
Comments