Microsoft ha lanzado una actualización que aborda una vulnerabilidad zero-day en Windows Defender SmartScreen, la cual fue aprovechada en ataques reales por un grupo de amenazas con motivaciones financieras, con el objetivo de desplegar el troyano de acceso remoto conocido como DarkMe.
Identificado como Water Hydra y DarkCasino, este grupo de piratería fue descubierto utilizando el zero-day (CVE-2024-21412) durante ataques realizados el día de Nochevieja, según los investigadores de seguridad de Trend Micro.
En el aviso de seguridad emitido ayer, Microsoft explicó:
«Un atacante no autenticado podría enviar al usuario objetivo un archivo especialmente diseñado para eludir las verificaciones de seguridad mostradas. Sin embargo, el atacante no tendría la capacidad de forzar al usuario a ver el contenido controlado por él. En cambio, dependería de persuadir al usuario para que tome medidas, como hacer clic en el enlace del archivo«.
Peter Girnus, investigador de seguridad de Trend Micro, quien fue acreditado por informar sobre este zero-day, reveló que la vulnerabilidad CVE-2024-21412 elude otra falla de Defender SmartScreen (CVE-2023-36025).
La CVE-2023-36025 fue parcheada durante el Martes de Parches de noviembre de 2023 y, según Trend Micro, también fue aprovechada el mes pasado para eludir las advertencias de seguridad de Windows al abrir archivos de URL, desplegando así el malware Phemedrone, un ladrón de información.
Vulnerabilidad recién descubierta empleada en ataques dirigidos contra operadores del mercado financiero
La vulnerabilidad zero-day, la cual Microsoft abordó en su último parche, fue empleada en ataques específicos dirigidos a «traders de divisas que participan en el mercado de comercio de divisas de alto riesgo«, con la aparente finalidad de llevar a cabo el robo de datos o, posiblemente, desplegar ransomware en etapas posteriores.
Trend Micro explicó que a fines de diciembre de 2023, detectaron una campaña del grupo Water Hydra que presentaba herramientas, tácticas y procedimientos (TTP) similares, involucrando el abuso de accesos directos de internet (.URL) y componentes de Web-based Distributed Authoring and Versioning (WebDAV).
La conclusión fue que llamar a un acceso directo dentro de otro acceso directo era suficiente para eludir SmartScreen, ya que no aplicaba correctamente la Marca de la Web (MotW), un componente crítico de Windows que alerta a los usuarios al abrir o ejecutar archivos desde fuentes no confiables.
Water Hydra aprovechó la CVE-2024-21412 para llevar a cabo ataques de spearphishing en foros de comercio de divisas y canales de Telegram de comercio de acciones.
Utilizaron un gráfico de acciones malicioso vinculado a un sitio de información de comercio comprometido en Rusia (fxbulls[.]ru), haciéndose pasar por una plataforma de corredor de divisas (fxbulls[.]com).
El objetivo principal de los atacantes era engañar a traders específicos para que instalaran el malware DarkMe mediante tácticas de ingeniería social.
Para lograrlo, utilizaron tácticas como publicar mensajes en inglés y ruso solicitando u ofreciendo orientación comercial, así como difundir herramientas falsas relacionadas con acciones y finanzas, centradas en el análisis técnico de gráficos y herramientas de indicadores de gráficos.
Una compilación completa de Indicadores de Compromiso (IoCs) para la reciente campaña de malware DarkMe ha sido detallada y está disponible en este enlace.
En anteriores instancias, los hackers de Water Hydra han aprovechado vulnerabilidades de día cero.
Un ejemplo es la explotación de una vulnerabilidad de gravedad elevada (CVE-2023-38831) en el software WinRAR, utilizado por más de 500 millones de usuarios.
Este incidente les permitió comprometer cuentas de trading meses antes de que se lanzara un parche para corregir dicha vulnerabilidad.
Subsiguientemente, varios proveedores relacionaron la explotación de CVE-2023-38831 con diversos grupos de hacking respaldados por gobiernos, incluyendo a Sandworm, APT28, APT40, DarkPink (NSFOCUS) y Konni (Knownsec) de Rusia, China y Corea del Norte.
En la jornada actual, Microsoft ha implementado una segunda actualización para un zero-day en Windows SmartScreen (CVE-2024-21351).
Este exploit estaba siendo utilizado en situaciones del mundo real y tenía la capacidad de permitir a los atacantes inyectar código en SmartScreen, logrando así ejecución de código.
