Falla in Windows Defender sfruttata per diffondere malware di accesso remoto

I ricercatori di sicurezza di Trend Micro hanno individuato una falla zero-day in Windows Defender SmartScreen, che è stata sfruttata da un gruppo hacker per distribuire lo strumento di accesso remoto DarkMe.

La vulnerabilità, tracciata con il codice CVE-2024-21412, è stata utilizzata per condurre attacchi mirati a "operatori di cambio che partecipano al mercato del trading in valute" con il probabile obiettivo finale di furto di informazioni o distribuzione successiva di ransomware.

La vulnerabilità CVE-2024-21412 va inoltre ad innescare un'altra vulnerabilità, CVE-2023-36025, che Microsoft aveva già corretto con il patch Tuesday di novembre e che risulta ancora sfruttabile in determinate condizioni.

Il gruppo hacker, che Trend Micro identifica in Water Hydra / DarkCasino, ha preso di mira forum a tema trading forex e canali Telegram di trading azionario mettendo in atto attacchi di spearphishing, con la diffusione di un grafico azionario collegato ad un sito di informazioni di trading russo compromesso, che si spacciava per una piattaforma di broker forex.

"Alla fine di dicembre 2023, abbiamo iniziato a monitorare una campagna del gruppo Water Hydra che conteneva strumenti, tattiche e procedure per abusare di collegamenti Internet (.URL) e componenti Web-based Distributed Authoring and Versioning (WebDAV). Abbiamo concluso che richiamare un collegamento all'interno di un altro collegamento era sufficiente per eludere SmartScreen, che non riusciva ad applicare correttamente Mark-of-the-Web (MotW), un componente critico di Windows che avvisa gli utenti quando aprono o eseguono file da una fonte non attendibile" hanno spiegato gli analisti di Trend Micro.

La nuova falla CVE-2024-21412 è stata corretta con il rilascio degli aggiornamenti del patch Tuesday di questo mese, con Microsoft che ha comunicato: "Un utente malintenzionato non autenticato potrebbe inviare all'utente preso di mira un file appositamente predisposto per aggirare i controlli di sicurezza visualizzati. Tuttavia, l'aggressore non avrebbe modo di forzare un utente a visualizzare il contenuto, ma dovrebbe convincerlo ad agire facendo clic sul collegamento del file".

L'obiettivo degli aggressori era indurre i trader presi di mira a installare il malware DarkMe tramite tecniche di social engineering con la pubblicazione di messaggi in inglese e russo, offrendo indicazioni di trading e sedicenti strumenti di analisi finanziaria.