Хакери заложили капан на Windows Defender

Вграденият антивирус в Windows може да бъде заобиколен от хакерите с хитра тактика 
(снимка: CC0 Public Domain)

Проблем в стандартната антивирусна функция на Windows позволи на кибернападатели да разпространят зловреден софтуер за кражба на информация, заобикаляйки защитата. За целта е достатъчно да принудят жертвата да кликне върху желаната връзка.

Windows Defender, по-специално неговият компонент SmartScreen, дава възможност на хакери да разпространяват програми за кражба на данни като ACR Stealer, Lumma и Meduza. Проблемът идва от това, че Windows Defender не работи правилно.

Много опасната уязвимост CVE-2024-21412 (с оценка CVSS 8.1) беше идентифицирана и коригирана от Microsoft в началото на 2024 г. Но още преди компанията да разбере за нея, кибернападателите я експлоатираха активно. По-специално, групата Water Hydra/DarkCasino използва тази уязвимост за разпространение на зловредния софтуер DarkMe, който атакува финансовите пазари от края на 2023 г.

Уязвимостта може да бъде експлоатирана от хакерите чрез изпращане към жертвата на специално създаден файл, който им позволява да заобиколят защитите на Windows Defender. Нападателят обаче трябва да убеди жертвата да отвори връзка, за да види съдържанието на този файл. Това изисква използване на тактики на социалното инженерство.

Многоетапна верига за заразяване

Експертите на Trend Micro документираха процедурата за заразяване. Всичко започва с изпращане на връзка към адрес във форуми за търговия, който уж води до определена борсова диаграма. Вместо изображение, на жертвите се дава файл с връзка photo_2023-12-29.jpg.url, който при щракване изтегля злонамерения инсталатор 7z.msi – за него се предполага, че е инсталатор за архиватора 7zip.

Когато потребител се опита да отвори злонамерената връзка, браузърът го подканва да я види директно в Windows Explorer. Тъй като това не е предупреждение за сигурност, потребителят може да не подозира, че връзката е злонамерена.

Подходът на атакуващите включва злоупотреба с функцията „search: application protocol”, която се използва за извикване на приложението за търсене на десктопа на Windows. Този метод е използван много пъти в миналото за доставяне и инсталиране на зловреден софтуер.

Подмененият файл с бърз достъп (internet shortcut), от своя страна, сочи към друг подобен файл, разположен на отдалечен сървър (2.url), който от своя страна сочи към CMD shell скрипт в ZIP архив, разположен на същия сървър (a2. zip/a2.cmd).

Смисълът на тези пренасочвания е, че извикването на един файл с пряк път към друг е достатъчно, за да се заобиколи SmartScreen: той неправилно прилага критичния механизъм Mark of the Web (MotW), което прави доставката на зловреден софтуер безпроблемна за нападателите.

Така се разпространява DarkMe и по подобен начин се извършва разпространението на infostealers. Когато жертвата щракне върху .url файла, .lnk файлът се изтегля и от своя страна изтегля и изпълнява файл, съдържащ скрипта на HTML Application (HTA).

Последният файл в тази верига разопакова и декриптира скрипта PowerShell, който изтегля файл с PDF разширение от отдалечен сървър, както и инжектор на код на обвивка (shell-код), който или директно инсталира Meduza в системата, или изтегля Hijack Loader, чрез който се стартира ACR Stealer или Lumma.

Капан за антивирусната програма

Многоетапните вериги за заразяване са техника, която отдавна се използва от нападателите, за да объркат защитите. За съжаление, Defender в случая не сработва, а много малко потребители биха се замислили да заменят стандартната Windows антивирусна програма с нещо друго.

Според експертите на Fortinet, ACR Stealer изглежда е вариант на GrMsk Stealer; той започна да се рекламира на хакерския форум RAMP в края на март 2024 г. ACR Stealer маскира своя контролен сървър, използвайки метода „drop dead resolver”.

Това е метод за атака, при който нападателите публикуват съдържание с вградени злонамерени домейни или IP адреси в легитимни уеб услуги (в случай на ACR, това е сайт на общност в услугата Steam). Зловредният код не съдържа адреса на C&C сървъра. Вместо това програмата получава достъп до публикация в обществена услуга и чете от нея поредица от привидно безсмислени съобщения и символи, които всъщност представляват шифър за активиране на следващия етап от атаката.

Злонамереният софтуер е в състояние да открадне данни от уеб браузъри, крипто портфейли, месинджъри, имейл и FTP клиенти, VPN услуги и дори мениджъри на пароли, предупреждават специалистите.