Utilizan el nuevo día cero de Windows Defender para lanzar el malware DarkMe

Microsoft ha parcheado hoy un Windows Defender SmartScreen de día cero explotado en la naturaleza por un grupo de amenazas motivado financieramente para implementar el troyano de acceso remoto (RAT) DarkMe.

El grupo de piratas informáticos (rastreado como Water Hydra y DarkCasino) fue detectado utilizando el día cero (CVE-2024-21412) en ataques el día de Nochevieja por los investigadores de seguridad de Trend Micro.

"Un atacante no autenticado podría enviar al usuario objetivo un archivo especialmente diseñado para eludir los controles de seguridad mostrados", dijo Microsoft en un aviso de seguridad emitido hoy.

"Sin embargo, el atacante no tendría forma de obligar a un usuario a ver el contenido controlado por el atacante. En su lugar, el atacante tendría que convencerlos de que tomen medidas haciendo clic en el enlace del archivo".

El investigador de seguridad de Trend Micro, Peter Girnus, a quien se le atribuye el informe de este día cero, reveló que la falla CVE-2024-21412 pasa por alto otra vulnerabilidad de Defender SmartScreen (CVE-2023-36025).

CVE-2023-36025 se parcheó durante el martes de parches de noviembre de 2023 y, como reveló Trend Micro el mes pasado, también se explotó para eludir las indicaciones de seguridad de Windows al abrir archivos URL para implementar el malware ladrón de información Phemedrone.


El día cero se utiliza para dirigirse a los operadores de los mercados financieros

El día cero que Microsoft parcheó hoy se utilizó en ataques dirigidos a "operadores de divisas que participan en el mercado de comercio de divisas de alto riesgo", con el probable objetivo final de ser el robo de datos o la implementación de ransomware en una etapa posterior.

"A finales de diciembre de 2023, comenzamos a rastrear una campaña del grupo Water Hydra que contenía herramientas, tácticas y procedimientos (TTP) similares que implicaban abusar de los accesos directos de Internet (. URL) y componentes de creación y control de versiones distribuidos basados en web (WebDAV)", explicó Trend Micro.

"Llegamos a la conclusión de que llamar a un acceso directo dentro de otro acceso directo era suficiente para evadir SmartScreen, que no aplicaba correctamente Mark-of-the-Web (MotW), un componente crítico de Windows que alerta a los usuarios cuando abren o ejecutan archivos de una fuente no confiable".

Water Hydra aprovechó CVE-2024-21412 para atacar los foros de comercio de divisas y los canales de Telegram de comercio de acciones en ataques de spearphishing, impulsando un gráfico de acciones malicioso que enlazaba con un sitio de información comercial comprometido de Rusia (fxbulls[.] ru) haciéndose pasar por una plataforma de bróker de Forex (fxbulls[.] com).

El objetivo de los atacantes era engañar a los comerciantes objetivo para que instalaran el malware DarkMe a través de la ingeniería social.

Las tácticas que utilizaron incluyen la publicación de mensajes en inglés y ruso en los que se solicitaba u ofrecía orientación comercial y la difusión de herramientas financieras y de acciones falsificadas relacionadas con el análisis técnico de gráficos y las herramientas de indicadores gráficos.



Los hackers de Water Hydra han explotado otras vulnerabilidades de día cero en el pasado. Por ejemplo, utilizaron una vulnerabilidad de alta gravedad (CVE-2023-38831) en el software WinRAR utilizado por más de 500 millones de usuarios para comprometer las cuentas de trading varios meses antes de que estuviera disponible un parche.

Más tarde, otros proveedores vincularon la explotación CVE-2023-38831 con múltiples grupos de piratas informáticos respaldados por el gobierno, incluidos los grupos de amenazas Sandworm, APT28, APT40, DarkPink (NSFOCUS) y Konni (Knownsec) de Rusia, China y Corea del Norte.

Hoy, Microsoft parcheó un segundo Windows SmartScreen de día cero (CVE-2024-21351) explotado en la naturaleza que podría permitir a los atacantes inyectar código en SmartScreen y obtener la ejecución de código.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta