Sicherheitsforscher warnen davor, dass eine Kampagne zum Datendiebstahl im Gange ist, bei der Cyberkriminelle eine frühere Sicherheitslücke mit einer hohen Bedrohungseinstufung ausnutzen, die das Microsoft-Team im Februar gepatcht hat, aber viele Systeme haben noch immer kein Sicherheitsupdate erhalten. Cyberkriminelle machen sich dies zunutze und versuchen auch in Spanien, Thailand und den Vereinigten Staaten, an sensible Daten zu gelangen, wobei die Kampagnen auf der Unachtsamkeit und Neugier der Nutzer basieren.
Die fragliche Schwachstelle befindet sich in der SmartScreen-Funktion von Microsoft Defender und lief unter der Nummer CVE-2024-21412, wurde aber inzwischen gepatcht. Leider haben einige Nutzer das notwendige Update nicht installiert, so dass ihre Systeme weiterhin gefährdet sind. Den Sicherheitsforschern zufolge zeigt dieser Fall auch, wie wichtig es ist, das System auf dem neuesten Stand zu halten, und zwar sowohl in Bezug auf Hardware-Updates als auch auf die auf der Konfiguration laufende Software. Interessanterweise versuchten Cyberkriminelle auch, von der Aufregung zu profitieren, die das CrowdStrike-Fiasko letzte Woche ausgelöst hatte, indem sie gefälschte Wiederherstellungsdokumente an potenziell betroffene Nutzer und Serverbetreiber verschickten, die eine neue Datendiebstahlsoftware namens Daolpu enthielten.
Cara Lin, eine der Sicherheitsforscherinnen, erläuterte in den virtuellen Kolumnen von The Hacker News, wie der Infektionsprozess abläuft und wie die Sicherheitslücke in Microsoft Defender Smart Screen ausgenutzt wird. Zunächst werden die Opfer mit einem Köder gelockt, der sie dazu verleitet, auf eine speziell gestaltete URL zu klicken, die sofort eine LNK-Datei herunterlädt. Wenn sie darauf klicken, lädt die LNK-Datei eine ausführbare Datei herunter und startet diese, die ein HTA-Skript (HTML-Anwendung) enthält. Diese HTA-Anwendung stellt dann einen PowerShell-Code zur Verfügung, nachdem die Entschlüsselung und die Datenverschlüsselung entriegelt wurden, der PDF-Lenkungsdateien herunterlädt und außerdem eine Shell-Code-Injektionssoftware auf das System überträgt.
Dieser Code-Injektionsalgorithmus übernimmt dann die wichtige Aufgabe, den bösartigen Code auf der Konfiguration zu installieren und auszuführen. Im Wesentlichen besteht die Aufgabe der Malware darin, alle Informationen von Webbrowsern, Krypto-Wallets, Messaging-Anwendungen, FTP-Servern, E-Mail-Clients, VPN-Diensten und Passwort-Manager-Anwendungen zu sammeln und die wertvollen Daten dann an die Steam-Community-Website zu übermitteln, wo sie den Code, der sie steuert, mithilfe von DDR-Techniken (Dead Drop Resolver) versteckt. Die Malware verwendet die Informationssammlungssoftware ACR Stealer, Lumma und Meduza, um Daten aus einer Vielzahl von Anwendungen zu erhalten.
Der Datendiebstahl betrifft die Webbrowser Google Chrome, Epic Privacy Browser, Vivaldi, Microsoft Edge und sogar die Webbrowser Opera und Firefox. Gleichzeitig sind auch Messaging-Software wie Telegram, Pidgin, Signal, Tox, PSI, PSI+ und WhatsApp betroffen, und auch eine Reihe von FTP-Clients kann zum Sammeln von Daten von den Cyberkriminellen hinter dem bösartigen Code verwendet werden. Unter den VPN-Diensten stehen NordVPN und AireVPN auf der Liste, während Nutzer von Passwortmanagement-Anwendungen wie Bitwarden, NordPass, 1Password und RoboForm gefährdet sein könnten. Obwohl Passwort-Manager Passwörter in verschlüsselter Form speichern, besteht immer noch die Möglichkeit, dass über sie auf sensible Daten zugegriffen werden kann. Nach einer Untersuchung der Algorithmen, die an der Datendiebstahlkampagne beteiligt waren, hat das Fortinet-Team eine Liste zusammengestellt, die zeigt, welche Anwendungen in diesem Fall von Cyberkriminellen zum Abgreifen von Daten verwendet werden können.
Die oben genannten Punkte machen es daher zu einer Priorität, Updates zu installieren. In Anbetracht der vielen Probleme ist es verständlich, wenn viele Leute es vorziehen, mit der Aktualisierung einige Wochen zu warten, um zu sehen, ob es unerwartete Nebenwirkungen des aktuellen Updates gibt, aber der fragliche Patch wurde vor fünf Monaten veröffentlicht, es hätte sich also gelohnt, ihn zu installieren.
