Исследователи Fortinet FortiGuard Labs https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed кампанию, нацеленную на Испанию, Таиланд и США с использованием уязвимости CVE-2024-21412 (оценка CVSS: 8,1).

Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ таких как ACR Stealer, Lumma и Meduza.

Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки. Microsoft устранила ее еще в феврале 2024 года.

В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла. Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения). Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.

Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.

Полезные forensics artifacts для #CVE_2024_21412 : .url файлы в WebDAV папке для детекта:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\*.url