Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

Una vulnerabilidad en Microsoft Defender SmartScreen, que fue solucionada en febrero, sigue siendo explotada en ataques de robo de información en todo el mundo.

Info-Stealers

CVE-2024-21412, una vulnerabilidad de SmartScreen con una puntuación CVSS de 8,1 y clasificada con una gravedad "alta", fue divulgada y solucionada por primera vez el 13 de febrero. Desde entonces, ha sido utilizada en campañas que involucran a conocidos ladrones de información como Lumma Stealer, Water Hydra y DarkGate.

Cinco meses después, Fortinet ha detectado otra campaña que involucra a otros dos ladrones de información: Meduza y ACR.

Estos ladrones de información, también conocidos como "info-stealers", son tipos de malware diseñados para robar información sensible de los dispositivos infectados, estos malware operan de la siguiente manera:

1. Lumma Stealer

• Método de distribución: Suele ser distribuido a través de campañas de phishing, descargas maliciosas, y exploits de software vulnerables.

• Funcionalidad: Una vez instalado, Lumma Stealer recopila información como contraseñas guardadas, cookies de navegador, credenciales de correo electrónico, y datos de criptomonedas.

• Comunicación: Envía los datos robados a un servidor controlado por el atacante.

2. Water Hydra

• Método de distribución: Similar a otros info-stealers, a menudo se propaga mediante correos electrónicos de phishing, archivos adjuntos maliciosos y sitios web comprometidos.

• Funcionalidad: Especializado en extraer información bancaria, credenciales de acceso y datos de autenticación de dos factores.

• Técnicas avanzadas: Usa técnicas de evasión para evitar la detección por parte del software antivirus.

3. DarkGate

• Método de distribución: Utiliza campañas de phishing y exploit kits para infectar a las víctimas.

• Funcionalidad: Roba una amplia variedad de información, incluyendo datos de inicio de sesión, historiales de navegación, y detalles financieros.

• Actualización continua: Los desarrolladores de DarkGate actualizan regularmente el malware para mejorar su efectividad y evasión de detección.

4. Meduza

• Método de distribución: Puede ser distribuido a través de correos electrónicos maliciosos, descargas de software pirata, y redes P2P.

• Funcionalidad: Roba datos como credenciales de redes sociales, información de pago, y archivos sensibles del sistema.

• Persistencia: Usa técnicas para asegurar su permanencia en el sistema infectado, reinfectándolo si es eliminado.

5. ACR

• Método de distribución: A menudo distribuido mediante phishing y sitios web comprometidos.

• Funcionalidad: Enfocado en robar credenciales de acceso y datos financieros, además de monitorear la actividad del usuario.

• Técnicas de ocultación: Implementa métodos para evitar ser detectado por soluciones de seguridad.

Esta persistente explotación de la vulnerabilidad subraya la importancia de mantener los sistemas actualizados y aplicar todas las correcciones de seguridad disponibles para mitigar el riesgo de estas amenazas.

Recursos afectados

• Microsoft Defender SmartScreen:

  • Componentes afectados: Los navegadores web que utilizan Microsoft Defender SmartScreen, como Microsoft Edge y, en algunos casos, Internet Explorer.

  • Funcionalidad afectada: La capacidad de SmartScreen para proteger a los usuarios contra sitios web maliciosos y descargas potencialmente dañinas puede verse comprometida.

• Sistemas Operativos Windows:

  • Versiones afectadas:  

  • Microsoft » Windows 10 1809 » Para versiones X86     anteriores a   (<) 10.0.17763.5458

  • Microsoft » Windows 10 1809 » Para versiones Arm64 anteriores a   (<) 10.0.17763.5458

  • Microsoft » Windows 10 1809 » Para versiones X64     anteriores a   (<) 10.0.17763.5458

  • Microsoft » Windows 10 21h2 » Versiones                     anteriores a  (<) 10.0.19044.4046

  • Microsoft » Windows 10 22h2 » Para versiones Arm64 anteriores a   (<) 10.0.19045.4046

  • Microsoft » Windows 10 22h2 » Para versiones X86     anteriores a   (<) 10.0.19045.4046

  • Microsoft » Windows 11 21h2 » Para versiones Arm64 anteriores a   (<) 10.0.22000.2777

  • Microsoft » Windows 11 21h2 » Para versiones X64     anteriores a   (<) 10.0.22000.2777

  • Microsoft » Windows 11 22h2 » Versiones                     anteriores a   (<) 10.0.22621.3155

  • Microsoft » Windows 11 23h2 » Para versiones X64     anteriores a   (<) 10.0.22631.3155

  • Microsoft » Windows 11 23h2 » Para versiones Arm64 anteriores a   (<) 10.0.22631.3155

  • Microsoft » Windows Server 2019 Versiones                 anteriores a   (<) 10.0.17763.5458

  • Microsoft » Windows Server 2022 23h2 Versiones        anteriores a   (<) 10.0.25398.709

  • Microsoft » Windows Server 2022 Versiones                 anteriores a   (<) 10.0.20348.2322

Solución

• Actualización del Sistema: Microsoft ha lanzado un parche para corregir esta vulnerabilidad. Es crucial mantener los sistemas actualizados con las últimas correcciones de seguridad.

• Uso de Software de Seguridad: Además de las actualizaciones, el uso de software antivirus y antimalware confiable puede ayudar a detectar y prevenir intentos de explotación.

• Prácticas de Seguridad: Los usuarios deben ser cautelosos al navegar por internet, evitar hacer clic en enlaces desconocidos y no descargar archivos de fuentes no confiables.

Recomendaciones

Una vez analizada la información al respecto se debe considerar las siguientes recomendaciones:

• Aplicar parches de seguridad.
• Monitoreo continuo.
• Implementación de capas adicionales de seguridad.
• Educación y concienciación.
• Gestión de contraseñas.
• Análisis de vulnerabilidades y pruebas de penetración.
• Respaldo y recuperación.
• Segmentación de red.

Asimismo se debe verificar:

• La aplicación del parche.
• Aislar sistemas no actualizados.
• Auditorías y revisiones post-parche.

Referencias

Thehackernews

X.com