Fecha de publicación: Jue, 25/07/2024 - 19:30

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

Una vulnerabilidad en Microsoft Defender SmartScreen, que fue solucionada en febrero, sigue siendo explotada en ataques de robo de información en todo el mundo.

Info-Stealers

CVE-2024-21412, una vulnerabilidad de SmartScreen con una puntuación CVSS de 8,1 y clasificada con una gravedad "alta", fue divulgada y solucionada por primera vez el 13 de febrero. Desde entonces, ha sido utilizada en campañas que involucran a conocidos ladrones de información como Lumma Stealer, Water Hydra y DarkGate.

Cinco meses después, Fortinet ha detectado otra campaña que involucra a otros dos ladrones de información: Meduza y ACR.

Estos ladrones de información, también conocidos como "info-stealers", son tipos de malware diseñados para robar información sensible de los dispositivos infectados, estos malware operan de la siguiente manera:

1. Lumma Stealer

  • Método de distribución: Suele ser distribuido a través de campañas de phishing, descargas maliciosas, y exploits de software vulnerables.

  • Funcionalidad: Una vez instalado, Lumma Stealer recopila información como contraseñas guardadas, cookies de navegador, credenciales de correo electrónico, y datos de criptomonedas.

  • Comunicación: Envía los datos robados a un servidor controlado por el atacante.

2. Water Hydra

  • Método de distribución: Similar a otros info-stealers, a menudo se propaga mediante correos electrónicos de phishing, archivos adjuntos maliciosos y sitios web comprometidos.

  • Funcionalidad: Especializado en extraer información bancaria, credenciales de acceso y datos de autenticación de dos factores.

  • Técnicas avanzadas: Usa técnicas de evasión para evitar la detección por parte del software antivirus.

3. DarkGate

  • Método de distribución: Utiliza campañas de phishing y exploit kits para infectar a las víctimas.

  • Funcionalidad: Roba una amplia variedad de información, incluyendo datos de inicio de sesión, historiales de navegación, y detalles financieros.

  • Actualización continua: Los desarrolladores de DarkGate actualizan regularmente el malware para mejorar su efectividad y evasión de detección.

4. Meduza

  • Método de distribución: Puede ser distribuido a través de correos electrónicos maliciosos, descargas de software pirata, y redes P2P.

  • Funcionalidad: Roba datos como credenciales de redes sociales, información de pago, y archivos sensibles del sistema.

  • Persistencia: Usa técnicas para asegurar su permanencia en el sistema infectado, reinfectándolo si es eliminado.

5. ACR

  • Método de distribución: A menudo distribuido mediante phishing y sitios web comprometidos.

  • Funcionalidad: Enfocado en robar credenciales de acceso y datos financieros, además de monitorear la actividad del usuario.

  • Técnicas de ocultación: Implementa métodos para evitar ser detectado por soluciones de seguridad.

Esta persistente explotación de la vulnerabilidad subraya la importancia de mantener los sistemas actualizados y aplicar todas las correcciones de seguridad disponibles para mitigar el riesgo de estas amenazas.

Recursos afectados

  • Microsoft Defender SmartScreen:

    • Componentes afectados: Los navegadores web que utilizan Microsoft Defender SmartScreen, como Microsoft Edge y, en algunos casos, Internet Explorer.

    • Funcionalidad afectada: La capacidad de SmartScreen para proteger a los usuarios contra sitios web maliciosos y descargas potencialmente dañinas puede verse comprometida.

  • Sistemas Operativos Windows:

    • Versiones afectadas:  

    • Microsoft » Windows 10 1809 » Para versiones X86     anteriores a   (<) 10.0.17763.5458

    • Microsoft » Windows 10 1809 » Para versiones Arm64 anteriores a   (<) 10.0.17763.5458

    • Microsoft » Windows 10 1809 » Para versiones X64     anteriores a   (<) 10.0.17763.5458

    • Microsoft » Windows 10 21h2 » Versiones                     anteriores a  (<) 10.0.19044.4046

    • Microsoft » Windows 10 22h2 » Para versiones Arm64 anteriores a   (<) 10.0.19045.4046

    • Microsoft » Windows 10 22h2 » Para versiones X86     anteriores a   (<) 10.0.19045.4046

    • Microsoft » Windows 11 21h2 » Para versiones Arm64 anteriores a   (<) 10.0.22000.2777

    • Microsoft » Windows 11 21h2 » Para versiones X64     anteriores a   (<) 10.0.22000.2777

    • Microsoft » Windows 11 22h2 » Versiones                     anteriores a   (<) 10.0.22621.3155

    • Microsoft » Windows 11 23h2 » Para versiones X64     anteriores a   (<) 10.0.22631.3155

    • Microsoft » Windows 11 23h2 » Para versiones Arm64 anteriores a   (<) 10.0.22631.3155

    • Microsoft » Windows Server 2019 Versiones                 anteriores a   (<) 10.0.17763.5458

    • Microsoft » Windows Server 2022 23h2 Versiones        anteriores a   (<) 10.0.25398.709

    • Microsoft » Windows Server 2022 Versiones                 anteriores a   (<) 10.0.20348.2322

Solución

  • Actualización del Sistema: Microsoft ha lanzado un parche para corregir esta vulnerabilidad. Es crucial mantener los sistemas actualizados con las últimas correcciones de seguridad.

  • Uso de Software de Seguridad: Además de las actualizaciones, el uso de software antivirus y antimalware confiable puede ayudar a detectar y prevenir intentos de explotación.

  • Prácticas de Seguridad: Los usuarios deben ser cautelosos al navegar por internet, evitar hacer clic en enlaces desconocidos y no descargar archivos de fuentes no confiables.

Recomendaciones

Una vez analizada la información al respecto se debe considerar las siguientes recomendaciones:

  • Aplicar parches de seguridad.
  • Monitoreo continuo.
  • Implementación de capas adicionales de seguridad.
  • Educación y concienciación.
  • Gestión de contraseñas.
  • Análisis de vulnerabilidades y pruebas de penetración.
  • Respaldo y recuperación.
  • Segmentación de red.

Asimismo se debe verificar:

  • La aplicación del parche.
  • Aislar sistemas no actualizados.
  • Auditorías y revisiones post-parche.

 

Referencias

Thehackernews

X.com