Microsoft ha rilasciato una patch riguardo una zero-day su Windows Defender SmartScreen sfruttata da un gruppo di minacce per distribuire il trojan di accesso remoto DarkMe (RAT).
Il gruppo di hacker (notocome Water Hydra e DarkCasino) è stato individuato durante lo sfruttamento della vulnerabilità CVE-2024-21412 da parte dei ricercatori di sicurezza di Trend Micro. Il ricercatore di sicurezza di Trend Micro Peter Girnus, accreditato per aver segnalato questo zero-day, ha rivelato che il difetto CVE-2024-21412 aggira un’altra vulnerabilità di Defender SmartScreen (CVE-2023-36025). CVE-2023-36025 è stato aggiornato durante il Patch Tuesday di novembre 2023 e, come rivelato da Trend Micro il mese scorso, è stato anche sfruttato per aggirare le richieste di sicurezza di Windows durante l’apertura di file URL per distribuire il malware Phmedrone info-stealer .
Lo zero-day a cui Microsoft ha applicato la patch è stato utilizzato per attacchi mirati, con il probabile obiettivo finale di furto di dati o distribuzione di ransomware in una fase successiva. Water Hydra ha sfruttato CVE-2024-21412 per prendere di mira forum di trading forex e canali Telegram di trading azionario con attacchi spearphishing, diffondendo un grafico azionario dannoso collegato a un sito di informazioni di trading russo compromesso (fxbulls[.]ru) che si spacciava per una piattaforma di broker forex (fxbulls[.]com). L’obiettivo degli aggressori era indurre i trader presi di mira a installare il malware DarkMe tramite il social engineering. Le tattiche utilizzate includono la pubblicazione di messaggi in inglese e russo chiedendo o offrendo indicazioni commerciali e la diffusione di azioni e strumenti finanziari contraffatti relativi all’analisi tecnica dei grafici e agli strumenti degli indicatori grafici.
In passato gli hacker di Water Hydra hanno sfruttato altre vulnerabilità zero-day. Ad esempio, hanno utilizzato una vulnerabilità di elevata gravità (CVE-2023-38831) nel software WinRAR utilizzato da oltre 500 milioni di utenti per compromettere i conti di trading diversi mesi prima che fosse disponibile una patch.
Microsoft ha patchato anche un secondo zero-day per Windows SmartScreen (CVE-2024-21351) sfruttato per consentire agli aggressori di inserire codice in SmartScreen e ottenerne l’esecuzione.