Software 18 Jul
Pesquisadores da FortiGuard Labs acabam de emitir um alerta para a vulnerabilidade CVE-2024-21412 presente no Defender SmartScreen do Windows que permite que hackers roubem dados de usuários por meio de aplicativos de mensagens como WhatsApp, Telegram, navegadores, plataformas de e-mail e outros aplicativos.
Dentre os aplicativos visados pelos hackers estão:
- Mensagens instantâneas: WhatsApp, Telegram, Pidgin, Signal, Tox, Psi e Psi+;
- Clientes de e-mail: Mailbird, eM Client, The Bat!, PMAIL, Opera Mail, yMail2, TrulyMail, Pocomail e Thunderbird;
- Utilitários: AnyDesk, MySQL Workbench, GHISLER, Notas Adesivas do Windows, Notezilla , To-Do DeskList, snowflake-ssh e GmailNotifierPro;
- Gerenciadores de senhas: Bitwarden, NordPass, 1Password e RoboForm;
- Navegadores: Google Chrome (versões padrão, Beta, SxS, Dev, Unstable e Canary), Microsoft Edge, Opera, Opera GX, Opera Neon, Mozilla Firefox, Vivaldi, Brave, Epic Privacy Browser, 360Browser, CocCoc Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa, Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements, MapleStudio ChromePlus, Maxthon3, Amigo, Brave, BlackHawk e TorBrowser;
- Clientes FTP: FileZilla, GoFTP, UltraFXP, NetDrive, FTP Now, DeluxeFTP, FTPGetter, Steed, Estsoft ALFTP, BitKinex, Notepad++ plugins NppFTP, FTPBox, INSoftware NovaFTP e BlazeFtp;
- Carteiras de criptomoedas: Bitcoin, Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Dogecoin, ElectronCash, MultiDoge, com.liberty.jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, Zcash, Guarda, WalletWasabi e Monero;
O malware é injetado no sistema com um arquivo disfarçado de PDF, um formato comum de documento. Após ser aberto, ele usa uma brecha no Windows Defender SmartScreen, aplicativo do sistema que deveria impedir a execução do malware.
Após invadir o sistema, o malware rouba dados de aplicativos instalados no computador e os envia para um servidor de Comando e Controle (C2).
A CVE-2024-21412 é uma vulnerabilidade de desvio de segurança no Microsoft Windows SmartScreen que surge de um erro no manuseio de arquivos criados com códigos maliciosos. Um invasor remoto pode explorar essa falha para ignorar a caixa de diálogo de aviso de segurança do SmartScreen e entregar arquivos criminosos.
Para garantir a eficiência do ataque, os hackers utilizam dois malwares: o Meduza Stealer 2.9 e o ARC, além de uma imagem JPG do site Imghippo que usa a API "GdipBitmapGetPixel" para acessar pixels e decodificar bytes que alcançam o código do shell do Windows.
No momento, os ataques parecem estar restritos a PCs da América do Norte, Espanha e Tailândia, mas é preciso ficar atento para não se tornar uma vítima dos hackers, pois eles podem direcionar suas atividades para qualquer país a qualquer momento.
Dentre as recomendações da FortiGuard estão:
- Instalar sempre todas as atualizações de segurança do Windows;
- Ter um antivírus instalado no seu PC;
- Não abrir e-mails ou arquivos enviados por estranhos;
- Não baixar softwares ou arquivos de servidores e fornecedores desconhecidos;
- Sempre usar criptografia e autenticação de dois fatores em aplicativos.
Comentários