Сегодня компания Microsoft исправила "нулевой день" в Windows Defender SmartScreen, использовавшийся в дикой природе финансово мотивированной группой угроз для развертывания трояна удаленного доступа DarkMe (RAT).
Хакерская группа (отслеживаемая как Water Hydra и DarkCasino) была замечена исследователями безопасности Trend Micro, использовавшими "нулевой день" (CVE-2024-21412) в атаках в канун Нового года.
"Неавторизованный злоумышленник может отправить целевому пользователю специально созданный файл, который предназначен для обхода отображаемых проверок безопасности", - говорится в сообщении Microsoft. говорится на сайте в опубликованном сегодня сообщении о безопасности.
"Однако у злоумышленника не будет возможности заставить пользователя просмотреть контролируемый им контент. Вместо этого злоумышленнику придется убедить пользователя совершить действие, нажав на ссылку файла".
Исследователь безопасности Trend Micro Питер Гирнус (Peter Girnus), которому принадлежит авторство сообщения об этом "нулевом дне", обнаружил, что дефект CVE-2024-21412 позволяет обойти другую уязвимость Defender SmartScreen (CVE-2023-36025).
Уязвимость CVE-2023-36025 была исправлена во время Вторник патчей ноября 2023 годаКак выяснила компания Trend Micro в прошлом месяце, он также использовался для обхода подсказок системы безопасности Windows при открытии URL-файлов, чтобы развертывания вредоносной программы Phemedrone, похищающей информацию..
Нулевой день использовался для атак на трейдеров финансовых рынков
Нулевой день, который Microsoft исправила сегодня был использован в атаках, направленных на "валютных трейдеров, участвующих в валютных торгах с высокими ставками", с вероятной конечной целью кражи данных или развертывания вымогательского ПО на более позднем этапе.
"В конце декабря 2023 года мы начали отслеживать кампанию группы Water Hydra, которая содержала схожие инструменты, тактики и процедуры (TTP), включающие использование ярлыков в Интернете (.URL) и компонентов Web-based Distributed Authoring and Versioning (WebDAV)". пояснили в Trend Micro..
"Мы пришли к выводу, что вызова ярлыка внутри другого ярлыка было достаточно для обхода SmartScreen, который не смог должным образом применить Mark-of-the-Web (MotW), критически важный компонент Windows, предупреждающий пользователей об открытии или запуске файлов из ненадежного источника".
Water Hydra эксплуатировала CVE-2024-21412, чтобы атаковать форумы форекс-трейдеров и Telegram-каналы биржевых торговцев в спам-фишинге, размещая вредоносный график акций со ссылкой на взломанный сайт торговой информации из России (fxbulls[.]ru), выдавая себя за платформу форекс-брокера (fxbulls[.]com).
Цель злоумышленников заключалась в том, чтобы с помощью социальной инженерии склонить трейдеров к установке вредоносного ПО DarkMe.
Тактика злоумышленников включала размещение сообщений на английском и русском языках с просьбой или предложением рекомендаций по торговле, а также распространение поддельных биржевых и финансовых инструментов, связанных с техническим анализом графиков и графическими индикаторами.
Полный список индикаторов компрометации (IoC) для этой недавно замеченной вредоносной кампании DarkMe доступен здесь ..
В прошлом хакеры Water Hydra уже использовали другие уязвимости нулевого дня. Например, они использовали уязвимость высокой степени серьезности (CVE-2023-38831) в программном обеспечении WinRAR, используемом более чем 500 миллионами пользователей для компрометации торговых счетов за несколько месяцев до появления исправления.
Позже другие производители связали эксплуатацию CVE-2023-38831 с многочисленными поддерживаемыми правительством хакерскими группами, включая Sandworm, APT28, APT40, DarkPink (NSFOCUS), и Konni (Knownsec) из России, Китая и Северной Кореи.
Сегодня компания Microsoft исправила вторую уязвимость нулевого дня Windows SmartScreen (CVE-2024-21351), эксплуатировавшегося в дикой природе, который мог позволить злоумышленникам внедрить код в SmartScreen и получить возможность выполнения кода.
