Một lỗ hổng bảo mật nghiêm trọng trong Microsoft Defender SmartScreen đã bị khai thác để phát tán các phần mềm độc hại, bao gồm ACR Stealer, Lumma và Meduza. Lỗ hổng này, được chỉ định mã CVE-2024-21412 với điểm CVSS là 8,1, cho phép kẻ tấn công vượt qua lớp bảo vệ SmartScreen, dẫn đến việc tải xuống phần mềm độc hại.

Kẻ tấn công đã sử dụng tệp tin lừa đảo để dụ nạn nhân nhấp vào liên kết có chứa tệp LNK, từ đó tải xuống tệp thực thi với mã độc. Những kẻ đánh cắp này có thể truy cập vào nhiều loại dữ liệu nhạy cảm, bao gồm thông tin từ trình duyệt, ví điện tử, ứng dụng nhắn tin, và dịch vụ VPN.

ACR Stealer, được cho là phiên bản nâng cấp của GrMsk Stealer, nó có khả năng ẩn phương thức thực hiện lệnh và kiểm soát, giúp nó dễ dàng thay đổi tên miền C2 khi cần thiết, làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn.

Điều đáng lưu ý là các cuộc tấn công Lumma Stealer cũng sử dụng cùng một kỹ thuật khai thác, cho thấy rằng tội phạm mạng đang áp dụng các chiến lược ngày càng tinh vi để phân phối phần mềm độc hại.

Ngoài ra, nghiên cứu từ CrowdStrike cho thấy rằng các tác nhân đe dọa đang chính trị hóa các sự cố để phát tán phần mềm đánh cắp thông tin mới có tên Daolpu, thông qua tài liệu giả mạo từ Microsoft.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng được khuyến cáo nên cập nhật phần mềm bảo mật của họ ngay lập tức và cẩn trọng trong việc tải xuống các tệp từ Internet, đặc biệt là từ các nguồn không rõ ràng. Hãy luôn kiểm tra độ tin cậy của nguồn tải xuống và kích hoạt các biện pháp bảo mật bổ sung để bảo vệ thông tin cá nhân.

(Theo Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam)