SecuriXy.kz
9.31K subscribers
483 photos
22 videos
18 files
393 links
Все самое интересное из мира информ. безопасности и IT 👍🏻
Обсуждаем, делимся, умнеем
https://securixy.kz

Обратная связь - @feedback_securixy_bot

Хахатушки - @memekatz
Hack the Box RUS - @HTB_RUS
Download Telegram
Исследователи Fortinet FortiGuard Labs https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed кампанию, нацеленную на Испанию, Таиланд и США с использованием уязвимости CVE-2024-21412 (оценка CVSS: 8,1).

Исправленная уязвимость безопасности в Microsoft Defender SmartScreen использовалась для распространения вредоносных программ таких как ACR Stealer, Lumma и Meduza.

Уязвимость высокой степени серьезности позволяет злоумышленнику обойти защиту SmartScreen и доставить вредоносные вредоносные нагрузки. Microsoft устранила ее еще в феврале 2024 года.

В ходе наблюдаемых атак злоумышленники заманивают жертву, заставляя ее пройти по созданной ссылке на URL-файл, предназначенный для загрузки LNK-файла. Затем LNK-файл загружает исполняемый файл, содержащий скрипт (HTML-приложения). Файл HTA служит каналом для декодирования и расшифровки кода PowerShell, отвечающего за извлечение поддельного PDF-файла и инжектора шелл-кода.

Он, в свою очередь, приводит к развертыванию Meduza Stealer или Hijack Loader, которые впоследствии запускают CR Stealer или Lumma.

Полезные forensics artifacts для #CVE_2024_21412 : .url файлы в WebDAV папке для детекта:


C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\*.url