利用 CVE-2024-21412 进行窃密的攻击激增

Microsoft Windows SmartScreen存在安全漏洞（CVE-2024-21412），允许远程攻击者绕过安全警告并传播恶意文件。多个恶意软件家族在过去一年中利用了这个漏洞。攻击者利用这个漏洞通过欺骗受害者点击精心设计的URL文件链接来下载恶意可执行文件。下载的LNK文件提取包含HTA脚本的可执行文件，解码和解密PowerShell代码以获取最终URL、诱饵PDF文件和恶意代码。攻击者将窃取的数据注入合法进程并发送回C&C服务器。他们使用不同的恶意代码和PDF文件来逃避不同地区的检测。攻击链以一个恶意链接开始，导向远程服务器，下载调用PowerShell脚本的URL文件，使用forfiles命令执行mshta从远程服务器提取可执行文件。对LNK文件的调查发现它们都下载包含嵌入HTA脚本的相似可执行文件。HTA脚本设置为静默运行，没有任何弹出窗口。解码和解密脚本后，PowerShell代码将两个文件下载到%AppData%文件夹：一个诱饵PDF文件和一个注入恶意代码的可执行文件。攻击者使用不同的方法注入代码，包括使用图像文件和从数据段解密代码。攻击者使用Meduza Stealer 2.9版本进行加密货币盗窃。该窃取者的控制面板位于hxxp://5[.]42[.]107[.]78/auth/login。HijackLoader的控制面板也可能加载ACR Stealer，该窃取者将C&C服务器地址隐藏在Steam社区中。可以通过在Steam上搜索特定字符串“t6t”来找到C&C服务器。攻击者针对各种应用程序进行攻击，包括浏览器、加密货币钱包、即时通讯软件、FTP客户端、电子邮件客户端、VPN客户端、密码管理器和其他软件。攻击者还针对Chrome浏览器扩展进行攻击。IOCs包括IP地址和域名。