Biztonságtechnikai kutatók arra figyelmeztetnek, hogy éppen zajlik egy adatlopási kampány, amelynek keretén belül a kiberbűnözők egy korábbi, magas veszélyességi besorolással rendelkező sebezhetőséget használnak ki, amit a Microsoft csapata már február folyamán befoltozott ugyan, de sok rendszerre még mindig nem került fel a biztonságot jelentő frissítés. A kiberbűnözők pont ezt használják ki, így Spanyolországban, Tájföldön, illetve az Amerikai Egyesült Államokban is próbálkoznak kényes adatok megszerzésével, a kampányokat pedig a felhasználói óvatlanságra és kíváncsiságra alapozzák.
A szóban forgó sérülékenység a Microsoft Defender SmartScreen funkciójában lapul és a CVE-2024-21412 bejegyzés alatt futott, ám időközben befoltozták, de egyes felhasználók sajnos nem telepítették a szükséges frissítést, így rendszereik még mindig veszélyben vannak. A biztonságtechnikai kutatók szerint ez az eset is rámutat arra, mennyire fontos naprakészen tartani az adott rendszert, már ami a hardverrel kapcsolatos frissítéseket jelenti, illetve a konfiguráción futó szoftvert is rendszeresen frissíteni kell(ene). Érdekesség, hogy a múlt heti CrowdStrike fiaskó okozta felfordulásból is megpróbáltak profitálni a kiberbűnözők, ugyanis hamis helyreállítási dokumentumokat küldtek ki a potenciálisan érintett felhasználóknak és szerverek üzemeltetőinek, ami egy új adatlopó szoftvert tartalmazott, ennek neve Daolpu.
Visszatérve a Microsoft Defender Smart Screen sérülékenységét kihasználó adatlopási kampányra, az egyik biztonságtechnikai kutató, Cara Lin a The Hacker News virtuális hasábjain keresztül ismertette, hogyan is zajlik a fertőzés folyamata. A célszemélyek első körben kapnak egy csalit, amellyel ráveszik őket, hogy egy speciálisan összeállított URL-re kattintsanak, ami azonnal letölt egy LNK fájlt. Amennyiben erre is rákattintanak, az LNK fájl letölt és elindít egy futtatható állományt, ami egy HTA (HTML Application) szkriptet tartalmaz. Ez a HTA alkalmazás aztán egy PowerShell kódot tesz elérhetővé a dekódolás és az adattitkosítás feloldását követően, ami csali PDF fájlokat tölt le és egy Shell kód-injektáló szoftvert is eljuttat a rendszerre.
Ez a kódinjektáló algoritmus aztán elvégzi a lényegi feladatot, azaz telepíti a kártékony kódot a konfigurációra és el is indítja azt. A malware feladata lényegében annyi, hogy minden információt összeszedjen a webböngészőkből, a kriptotárcákból, az üzenetküldő alkalmazásokból, az FTP szerverekről, az e-mail kliensekből, a VPN szolgáltatásokról, illetve a jelszómenedzser alkalmazásokból, majd az értékes adatokat a Steam közösségi weboldalára juttatja el, ahol Dead Drop Resolver (DDR) technikával rejti el a vezérlését végző kódot. A malware az ACR Stealer, a Lumma és a Meduza információgyűjtő szoftvereket használja, ezeken keresztül sokféle alkalmazás adatai szerezhetőek meg.
Az adatlopás a Google Chrome webböngészőt, az Epic Privacy Browser böngészőt, a Vivaldit, a Microsoft Edge böngészőt, de még az Opera és a Firefox webböngészőket is érinti. Ezzel egy időben az üzenetküldő szoftverek közül a Telegram, a Pidgin, a Signal, a Tox, a PSI, a PSI+, illetve a WhatsApp is érintett, plusz számos FTP kliensből is képes adatokat gyűjteni a kártékony kódok mögött álló kiberbűnözői csoport. A VPN szolgáltatások közül a NordVPN és az AireVPN egyaránt szerepel a listán, míg a jelszómenedzser alkalmazások közül a Bitwarden, a NordPass, a 1Password, illetve a RoboForm használói lehetnek veszélyben. Noha a jelszómenedzserek titkosítva tárolják a jelszavakat, így is van esély arra, hogy érzékeny adatokhoz jussanak rajtuk keresztül. A Fortinet csapata az adatlopó kampányban résztvevő algoritmusok vizsgálatát követően összeállított egy listát, amelyből kiderül, ebben az esetben mely alkalmazásokból tudnak adatokat kinyerni a kiberbűnözők.
A fentiek alapján tehát kiemelten fontos a frissítések telepítése. A sok-sok problémát elnézve érhető, ha a frissítéssel sokan inkább várnak néhány hetet, hogy kiderüljön, van-e bármilyen nem várt mellékhatása az aktuális frissítőcsomagnak, de a szóban forgó javítás öt hónapja készült el, így már érdemes lett volna telepíteni.
