CVE-2024-21412 是 Microsoft Windows SmartScreen 中的一个安全漏洞,该漏洞源于处理恶意制作的文件时出现错误,远程攻击者可以利用此漏洞绕过 SmartScreen 安全警告对话框并传播恶意文件。在过去一年中,包括 Water Hydra、Lumma Stealer 和 Meduza Stealer 在内的多个恶意软件家族都启用了该漏洞。
研究人员观察到多个攻击者正在利用 CVE-2024-21412 下载恶意可执行文件。最初通过诱骗受害者点击精心设计的 URL 文件链接,再下载 LNK 文件。LNK 文件拉取包含 HTA 脚本的可执行文件,后续解码、解密 PowerShell 代码获取最终 URL、诱饵 PDF 文件与恶意代码。攻击者利用这些恶意代码,将窃密软件注入合法进程,将失陷主机的数据回传给 C&C 服务器。
攻击者针对不同地区(美国、西班牙、泰国等)设计了不同的恶意代码来逃避检测,并且使用不同的 PDF 文件。
攻击链
攻击者构建指向远程服务器的恶意链接,获取以下内容的 URL 文件:
URL 文件
LNK 文件使用 forfiles 命令调用 Powershell 脚本,执行 mshta 从远程服务器拉取可执行文件。
LNK 文件
调查过程中发现 LNK 文件都下载了类似的可执行文件,包含嵌入其中的 HTA 脚本。HTA 脚本均已被设置为 WINDOWSTATE="minimize"和 SHOWTASKBAR="no",执行其他恶意代码进行攻击下一阶段。
HTA 脚本
在解码和解密脚本后,PowerShell 代码会将两个文件下载到 %AppData%文件夹。一个文件是诱饵 PDF 文件,另一个文件是注入恶意代码的可执行文件。
部分代码
诱饵 PDF 文档
攻击链中,研究人员一共发现了两种类型的注入工具。第一种注入工具利用图片文件获取注入代码,截至目前检出率仍然比较低。
VirusTotal 检出结果
它开始从 Imghippo 网站(hxxps://i.imghippo[.]com/files/0hVAM1719847927[.]png)下载 JPG 文件,再利用名为 GdipBitmapGetPixel 的 Windows API 读取图片像素并解码字节以获取注入代码。
PNG 文件
随后调用 dword ptr ss:[ebp-F4]跳转到注入代码的入口点。注入代码首先从 CRC32 哈希中获取所有 API,并将文件放入 %TEMP%文件夹中。根据加密数据的典型字节(\x49\x44\x41\x54\xC6\xA5\x79\xEA),可以判断释放的文件是 HijackLoader。
入口点
CRC32 哈希值
写入文件夹
释放 HijackLoader
另一个注入工具会从数据段中解密代码,利用一系列 Windows API 函数(NtCreateSection、NtMapViewOfSection、NtUnmapViewOfSection、NtMapViewOfSection 和 NtProtectVirtualMemory)进行代码注入。
汇编代码
攻击者使用了 2.9 版本的 Meduza Stealer,其控制面板位于 hxxp://5[.]42[.]107[.]78/auth/login。
控制面板
HijackLoader 还可能会加载 ACR Stealer,通过 DDR 技术将 C&C 服务器地址隐藏在 Steam 社区中。
隐藏 C&C 服务器
在 Steam 社区中通过搜索特定字符串 t6t可以找到 Steam 上其他 ACR Stealers 的 C&C 服务器地址。
隐藏 C&C 服务器
获取 C&C 服务器地址后,ACR Stealers 拼接构建完整的 URL。通过该 URL 从 C&C 服务器获取配置信息,并与 C&C 服务器保持通信。
配置信息
除了 Documents 和 Recent 路径下的文件外,ACR Stealers 也关注以下应用程序:
浏览器: Google Chrome, Google Chrome SxS, Google Chrome Beta, Google Chrome Dev, Google Chrome Unstable, Google Chrome Canary, Epic Privacy Browser, Vivaldi, 360Browser Browser, CocCoc Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa, Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements Browser, MapleStudio ChromePlus, Maxthon3, Amigo, Brave-Browser, Microsoft Edge, Opera Stable, Opera GX Stable, Opera Neon, Mozilla Firefox, BlackHawk, and TorBro
加密货币钱包: Bitcoin, Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Dogecoin, ElectronCash, MultiDoge, com.liberty.jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, Zcash, Guarda, WalletWasabi, and Monero
即时通信软件: Telegram, Pidgin, Signal, Tox, Psi, Psi+, and WhatsApp
FTP 客户端: FileZilla, GoFTP, UltraFXP, NetDrive, FTP Now, DeluxeFTP, FTPGetter, Steed, Estsoft ALFTP, BitKinex, Notepad++ plugins NppFTP, FTPBox, INSoftware NovaFTP, and BlazeFtp
电子邮件客户端: Mailbird, eM Client, The Bat!, PMAIL, Opera Mail, yMail2, TrulyMail, Pocomail, and Thunderbird
VPN 客户端: NordVPN and AzireVPN
密码管理器: Bitwarden, NordPass, 1Password, and RoboForm
其他软件: AnyDesk, MySQL Workbench, GHISLER, Sticky Notes, Notezilla , To-Do DeskList, snowflake-ssh, and GmailNotifierPro
攻击者大量利用 CVE-2024-21412 传播 LNK 文件,后续下载嵌入 HTA 脚本的可执行文件。HTA 脚本可以悄无声息地运行,不弹出任何窗口。继续下载诱饵 PDF 文档与注入代码的可执行文件,为后续窃密做准备。
https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed
