Falla in Windows Defender sfruttata per diffondere malware di accesso remoto

Falla in Windows Defender sfruttata per diffondere malware di accesso remoto

Una vulnerabilità, corretta da Microsoft con il patch Tuesday di febbraio, ha permesso ad un gruppo hacker di diffondere malware di accesso remoto perendendo di mira forum e canali Telegram dedicati al forex

di pubblicata il , alle 10:51 nel canale Sicurezza
Windows
 

I ricercatori di sicurezza di Trend Micro hanno individuato una falla zero-day in Windows Defender SmartScreen, che è stata sfruttata da un gruppo hacker per distribuire lo strumento di accesso remoto DarkMe.

La vulnerabilità, tracciata con il codice CVE-2024-21412, è stata utilizzata per condurre attacchi mirati a "operatori di cambio che partecipano al mercato del trading in valute" con il probabile obiettivo finale di furto di informazioni o distribuzione successiva di ransomware.

La vulnerabilità CVE-2024-21412 va inoltre ad innescare un'altra vulnerabilità, CVE-2023-36025, che Microsoft aveva già corretto con il patch Tuesday di novembre e che risulta ancora sfruttabile in determinate condizioni.

Il gruppo hacker, che Trend Micro identifica in Water Hydra / DarkCasino, ha preso di mira forum a tema trading forex e canali Telegram di trading azionario mettendo in atto attacchi di spearphishing, con la diffusione di un grafico azionario collegato ad un sito di informazioni di trading russo compromesso, che si spacciava per una piattaforma di broker forex.

"Alla fine di dicembre 2023, abbiamo iniziato a monitorare una campagna del gruppo Water Hydra che conteneva strumenti, tattiche e procedure per abusare di collegamenti Internet (.URL) e componenti Web-based Distributed Authoring and Versioning (WebDAV). Abbiamo concluso che richiamare un collegamento all'interno di un altro collegamento era sufficiente per eludere SmartScreen, che non riusciva ad applicare correttamente Mark-of-the-Web (MotW), un componente critico di Windows che avvisa gli utenti quando aprono o eseguono file da una fonte non attendibile" hanno spiegato gli analisti di Trend Micro.

La nuova falla CVE-2024-21412 è stata corretta con il rilascio degli aggiornamenti del patch Tuesday di questo mese, con Microsoft che ha comunicato: "Un utente malintenzionato non autenticato potrebbe inviare all'utente preso di mira un file appositamente predisposto per aggirare i controlli di sicurezza visualizzati. Tuttavia, l'aggressore non avrebbe modo di forzare un utente a visualizzare il contenuto, ma dovrebbe convincerlo ad agire facendo clic sul collegamento del file".

L'obiettivo degli aggressori era indurre i trader presi di mira a installare il malware DarkMe tramite tecniche di social engineering con la pubblicazione di messaggi in inglese e russo, offrendo indicazioni di trading e sedicenti strumenti di analisi finanziaria.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sbaffo14 Febbraio 2024, 11:43 #1
sarà per quello che oggi windows update ci mette una vita, e vedevo in background anche il processo antimalware di win?
Preferisco non usare il pc mentre aggiorna, già negli ultimi mesi con gli aggiornamenti sono successi abbastanza casini, ho dovuto quasi reinstallare... stamattina uso l'ipad.
UtenteHD14 Febbraio 2024, 14:32 #2
Cavolo vero, oggi ci ha messo una vita, ma almeno sembra funzionare bene.
Ok, a parte gli scherzi, dal mio punto di vista non fidarsi completamente dei software di sicurezza pre-installati perche' sono quelli che saranno presi di mira maggiormente ed affiancarli ad altri, anche di gratuiti ci ne sono di validi.
maxnaldo14 Febbraio 2024, 16:20 #3
Originariamente inviato da: UtenteHD
Cavolo vero, oggi ci ha messo una vita, ma almeno sembra funzionare bene.
Ok, a parte gli scherzi, dal mio punto di vista non fidarsi completamente dei software di sicurezza pre-installati perche' sono quelli che saranno presi di mira maggiormente ed affiancarli ad altri, anche di gratuiti ci ne sono di validi.


io ho spesso avuto casini con gli antivirus di terze parti, soprattutto in fase di aggiornamenti vari di windows, quindi ora mi tengo il Defender ed evito i malwares, cioè gli altri antivirus .
Saturn14 Febbraio 2024, 16:29 #4
Originariamente inviato da: maxnaldo
io ho spesso avuto casini con gli antivirus di terze parti, soprattutto in fase di aggiornamenti vari di windows, quindi ora mi tengo il Defender ed evito i malwares, cioè gli altri antivirus .


Idem con patate.

Solo Windows Defender e tanta formazione, spiegazioni e lezioni agli utenti finali su cosa possono fare e soprattutto su cosa NON DEVONO fare.

Fin'ora, da 8 anni a questa parte, almeno con gli utenti in ditta e diversi clienti, l'esperimento sta, ringraziando Dio, funzionando più che bene !

Ovviamente lascio l'ultima parola al cliente, qualcuno è fissato con il proprio antivirus di fiducia. Curiosità: Kaspersky è sparito da praticamente ogni postazione dei suddetti clienti, dopo lo scoppio della guerra.
giovanni6925 Febbraio 2024, 16:27 #5
Originariamente inviato da: sbaffo
sarà per quello che oggi windows update ci mette una vita, e vedevo in background anche il processo antimalware di win?
Preferisco non usare il pc mentre aggiorna, già negli ultimi mesi con gli aggiornamenti sono successi abbastanza casini, ho dovuto quasi reinstallare... stamattina uso l'ipad.


Se a me succedesse una cosa del genere... non so che faccio.
E' per questo che faccio cloni a manetta prima di toccare il PC o permettere a mamma MS di toccarlo con i suoi aggiornamenti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^