Falla in Windows Defender sfruttata per diffondere malware di accesso remoto

Una vulnerabilità, corretta da Microsoft con il patch Tuesday di febbraio, ha permesso ad un gruppo hacker di diffondere malware di accesso remoto perendendo di mira forum e canali Telegram dedicati al forex
di Andrea Bai pubblicata il 14 Febbraio 2024, alle 10:51 nel canale SicurezzaWindows
I ricercatori di sicurezza di Trend Micro hanno individuato una falla zero-day in Windows Defender SmartScreen, che è stata sfruttata da un gruppo hacker per distribuire lo strumento di accesso remoto DarkMe.
La vulnerabilità, tracciata con il codice CVE-2024-21412, è stata utilizzata per condurre attacchi mirati a "operatori di cambio che partecipano al mercato del trading in valute" con il probabile obiettivo finale di furto di informazioni o distribuzione successiva di ransomware.
La vulnerabilità CVE-2024-21412 va inoltre ad innescare un'altra vulnerabilità, CVE-2023-36025, che Microsoft aveva già corretto con il patch Tuesday di novembre e che risulta ancora sfruttabile in determinate condizioni.
Il gruppo hacker, che Trend Micro identifica in Water Hydra / DarkCasino, ha preso di mira forum a tema trading forex e canali Telegram di trading azionario mettendo in atto attacchi di spearphishing, con la diffusione di un grafico azionario collegato ad un sito di informazioni di trading russo compromesso, che si spacciava per una piattaforma di broker forex.
"Alla fine di dicembre 2023, abbiamo iniziato a monitorare una campagna del gruppo Water Hydra che conteneva strumenti, tattiche e procedure per abusare di collegamenti Internet (.URL) e componenti Web-based Distributed Authoring and Versioning (WebDAV). Abbiamo concluso che richiamare un collegamento all'interno di un altro collegamento era sufficiente per eludere SmartScreen, che non riusciva ad applicare correttamente Mark-of-the-Web (MotW), un componente critico di Windows che avvisa gli utenti quando aprono o eseguono file da una fonte non attendibile" hanno spiegato gli analisti di Trend Micro.
La nuova falla CVE-2024-21412 è stata corretta con il rilascio degli
aggiornamenti del patch
Tuesday di questo mese, con Microsoft che ha comunicato: "Un utente
malintenzionato non autenticato potrebbe inviare all'utente preso di mira
un file appositamente predisposto per aggirare i controlli di sicurezza
visualizzati. Tuttavia, l'aggressore non avrebbe modo di forzare un utente
a visualizzare il contenuto, ma dovrebbe convincerlo ad agire facendo clic
sul collegamento del file".
L'obiettivo degli aggressori era indurre i trader presi di mira a installare il malware DarkMe tramite tecniche di social engineering con la pubblicazione di messaggi in inglese e russo, offrendo indicazioni di trading e sedicenti strumenti di analisi finanziaria.
5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoPreferisco non usare il pc mentre aggiorna, già negli ultimi mesi con gli aggiornamenti sono successi abbastanza casini, ho dovuto quasi reinstallare... stamattina uso l'ipad.
Ok, a parte gli scherzi, dal mio punto di vista non fidarsi completamente dei software di sicurezza pre-installati perche' sono quelli che saranno presi di mira maggiormente ed affiancarli ad altri, anche di gratuiti ci ne sono di validi.
Ok, a parte gli scherzi, dal mio punto di vista non fidarsi completamente dei software di sicurezza pre-installati perche' sono quelli che saranno presi di mira maggiormente ed affiancarli ad altri, anche di gratuiti ci ne sono di validi.
io ho spesso avuto casini con gli antivirus di terze parti, soprattutto in fase di aggiornamenti vari di windows, quindi ora mi tengo il Defender ed evito i malwares, cioè gli altri antivirus
Idem con patate.
Solo Windows Defender e tanta formazione, spiegazioni e lezioni agli utenti finali su cosa possono fare e soprattutto su cosa NON DEVONO fare.
Fin'ora, da 8 anni a questa parte, almeno con gli utenti in ditta e diversi clienti, l'esperimento sta, ringraziando Dio, funzionando più che bene !
Ovviamente lascio l'ultima parola al cliente, qualcuno è fissato con il proprio antivirus di fiducia. Curiosità: Kaspersky è sparito da praticamente ogni postazione dei suddetti clienti, dopo lo scoppio della guerra.
Preferisco non usare il pc mentre aggiorna, già negli ultimi mesi con gli aggiornamenti sono successi abbastanza casini, ho dovuto quasi reinstallare... stamattina uso l'ipad.
Se a me succedesse una cosa del genere... non so che faccio.
E' per questo che faccio cloni a manetta prima di toccare il PC o permettere a mamma MS di toccarlo con i suoi aggiornamenti.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".