Microsoft Defender SmartScreen 中现已修补的安全漏洞已被利用，作为旨在提供 ACR Stealer、Lumma 和 Meduza 等信息窃取程序的新活动的一部分。

Fortinet FortiGuard Labs 表示，它检测到针对西班牙、泰国和美国的窃取活动，该活动使用利用 CVE-2024-21412 的诱杀文件（CVSS 评分：8.1）。

高严重性漏洞使得攻击者能够绕过 SmartScreen 保护并丢弃恶意负载。Microsoft 在 2024 年 2 月发布的月度安全更新中解决了这个问题。

“最初，攻击者引诱受害者点击一个精心制作的链接，指向一个旨在下载LNK文件的URL文件，”安全研究员Cara Lin说。“然后，LNK 文件会下载一个包含 [HTML 应用程序] 脚本的可执行文件。”

HTA 文件用作解码和解密 PowerShell 代码的管道，该代码负责获取诱饵 PDF 文件和 shellcode 注入器，这反过来又导致部署 Meduza Stealer 或 Hijack Loader，随后启动 ACR Stealer 或 Lumma。

ACR Stealer 被评估为 GrMsk Stealer 的进化版本，于 2024 年 3 月下旬由一个名为 SheldIO 的威胁行为者在俄语地下论坛 RAMP 上做广告。

“这个ACR窃取者在Steam社区网站上用死掉解析器（DDR）技术隐藏了它的[命令和控制]，”Lin说，并称它能够从网络浏览器、加密钱包、消息传递应用程序、FTP客户端、电子邮件客户端、VPN服务和密码管理器中窃取信息。

值得注意的是，根据 AhnLab 安全情报中心 （ASEC） 的说法，最近还观察到了使用相同技术的 Lumma Stealer 攻击，使对手更容易随时更改 C2 域并使基础设施更具弹性。

CrowdStrike透露，威胁行为者正在利用上周的中断来分发一个名为Daolpu的以前未记录的信息窃取程序，使其成为导致数百万Windows设备瘫痪的错误更新导致的持续影响的最新例子。

该攻击涉及使用带有宏的 Microsoft Word 文档，该文档伪装成 Microsoft 恢复手册，列出了 Windows 制造商为解决问题而发布的合法指令，并利用它作为诱饵来激活感染过程。

DOCM文件在打开时，运行宏以从远程中检索第二阶段DLL文件，该远程器被解码以启动Daolpu，这是一种窃取恶意软件，可从Google Chrome，Microsoft Edge，Mozilla Firefox和其他基于Chromium的浏览器中收集凭据和cookie。

它还遵循Braodo和DeerStealer等新的窃取恶意软件系列的出现，即使网络犯罪分子正在利用恶意广告技术推广合法软件（如Microsoft Teams）来部署Atomic Stealer。

“随着网络犯罪分子加大他们的分发活动，通过搜索引擎下载应用程序变得更加危险，”Malwarebytes研究员JérômeSegura说。“用户必须在恶意广告（赞助结果）和SEO中毒（受感染的网站）之间导航。”