Ciberseguridad 360 | Hackers utilizan nuevo zero-day de Windows Defender para propagar malware DarkMe

Microsoft ha parcheado hoy un zero-day de Windows Defender SmartScreen explotado en la naturaleza por un grupo de amenazas con motivaciones financieras para desplegar el troyano de acceso remoto (RAT) DarkMe.

El grupo de hackers (rastreado como Water Hydra y DarkCasino) fue detectado por investigadores de seguridad de Trend Micro utilizando el zero-day (CVE-2024-21412) en ataques realizados el d�a de Nochevieja.

"Un atacante no autentificado podr�a enviar al usuario objetivo un archivo especialmente dise�ado para eludir las comprobaciones de seguridad mostradas", afirma Microsoft en un aviso de seguridad publicado hoy.

"Sin embargo, el atacante no tendr�a forma de forzar a un usuario a ver el contenido controlado por el atacante. En su lugar, el atacante tendr�a que convencerles de que actuaran haciendo clic en el enlace del archivo".

El investigador de seguridad de Trend Micro Peter Girnus, a quien se atribuye la notificaci�n de este zero-day, revel� que el fallo CVE-2024-21412 elude otra vulnerabilidad de Defender SmartScreen (CVE-2023-36025).

CVE-2023-36025 se parche� durante el martes de parches de noviembre de 2023 y, como revel� Trend Micro el mes pasado, tambi�n se aprovech� para eludir los avisos de seguridad de Windows al abrir archivos URL para desplegar el malware ladr�n de informaci�n Phemedrone.

Zero-day utilizado para atacar a operadores del mercado financiero

El zero-day que Microsoft ha parcheado hoy se utiliz� en ataques dirigidos a "operadores de divisas que participan en el mercado de divisas de alto riesgo", con el objetivo final probable de robo de datos o despliegue de ransomware en una etapa posterior.

"A finales de diciembre de 2023, comenzamos a rastrear una campa�a del grupo Water Hydra que conten�a herramientas, t�cticas y procedimientos (TTP) similares que implicaban el uso indebido de accesos directos de Internet (.URL) y componentes WebDAV (Web-based Distributed Authoring and Versioning)", explic� Trend Micro.

"Llegamos a la conclusi�n de que llamar a un acceso directo dentro de otro acceso directo era suficiente para evadir SmartScreen, que no aplicaba correctamente Mark-of-the-Web (MotW), un componente cr�tico de Windows que alerta a los usuarios cuando abren o ejecutan archivos de una fuente no fiable."

Water Hydra aprovech� la vulnerabilidad CVE-2024-21412 para atacar foros de compraventa de divisas y canales de Telegram de compraventa de valores en ataques de spearphishing, enviando un gr�fico de valores malicioso que enlazaba con un sitio web de informaci�n comercial comprometido de Rusia (fxbulls[.]ru) que se hac�a pasar por una plataforma de corredur�a de divisas (fxbulls[.]com).

El objetivo de los atacantes era enga�ar a los operadores para que instalaran el malware DarkMe mediante ingenier�a social.

Entre las t�cticas que utilizaron se incluyen la publicaci�n de mensajes en ingl�s y ruso en los que se ped�a u ofrec�a orientaci�n para operar y la difusi�n de herramientas financieras y burs�tiles falsificadas relacionadas con herramientas de an�lisis t�cnico de gr�ficos e indicadores gr�ficos.

Los hackers de Water Hydra han explotado otras vulnerabilidades zero-day en el pasado. Por ejemplo, utilizaron una vulnerabilidad de alta gravedad (CVE-2023-38831) en el software WinRAR utilizado por m�s de 500 millones de usuarios para comprometer cuentas comerciales varios meses antes de que estuviera disponible un parche.

Otros proveedores vincularon posteriormente la explotaci�n de CVE-2023-38831 a m�ltiples grupos de hackers respaldados por gobiernos, entre ellos los grupos de amenazas Sandworm, APT28, APT40, DarkPink (NSFOCUS) y Konni (Knownsec) de Rusia, China y Corea del Norte.

Hoy, Microsoft ha parcheado un segundo zero-day de Windows SmartScreen (CVE-2024-21351) explotado en la naturaleza que podr�a permitir a los atacantes inyectar c�digo en SmartScreen y obtener la ejecuci�n de c�digo.

Fuente: bleepingcomputer