Se ha descubierto una nueva vulnerabilidad de seguridad en Microsoft Defender SmartScreen, que ha sido explotada por un actor de amenaza persistente avanzado llamado Water Hydra (también conocido como DarkCasino) para atacar a los operadores del mercado financiero. Esta vulnerabilidad, CVE-2024-21412, relacionada con los archivos de acceso directo de Internet (.URL), permitió a los cibercriminales omitir los controles de seguridad de Microsoft Defender SmartScreen e infectar a las víctimas con malware DarkMe.
Trend Micro informó que la campaña comenzó a fines de diciembre de 2023 y documentó el procedimiento de infección que aprovecha CVE-2024-21412. Para ello, los piratas informáticos dejaron caer un archivo de instalador malicioso («7z.msi») al hacer clic en un enlace preparado previamente («fxbulls[.]ru«). Este enlace se distribuyó a través de foros de comercio de divisas bajo el pretexto de compartir un enlace a una imagen de gráfico de acciones que, en realidad, es un archivo de acceso directo a Internet («photo_2023-12-29.jpg.url»).
El truco ingenioso que hace esto posible es el abuso del protocolo de aplicación de búsqueda, que se utiliza para llamar a la aplicación de búsqueda de escritorio en Windows y que ha sido explotado en el pasado para distribuir malware. Por su parte, el archivo de acceso directo a Internet malicioso apunta a otro archivo de acceso directo a Internet alojado en un servidor remoto («2.url»), que, a su vez, apunta a un script de shell CMD dentro de un archivo ZIP alojado en el mismo servidor («a2.zip/a2.cmd»).
Microsoft corrigió la vulnerabilidad en su actualización de febrero de Patch Tuesday, pero los investigadores advierten que este ataque es un ejemplo de una nueva tendencia en la que los grupos de ciberdelincuentes que encuentran zero-days terminan incorporándolos a cadenas de ataque implementadas por grupos de piratas informáticos estatales para lanzar ataques sofisticados.
«Water Hydra tiene el conocimiento técnico y las herramientas para descubrir y explotar vulnerabilidades zero-day en campañas avanzadas, desplegando malware altamente destructivo como DarkMe«, afirmaron los investigadores.
En resumen, la vulnerabilidad CVE-2024-21412 de Microsoft Defender SmartScreen fue explotada por Water Hydra para atacar a los operadores financieros. Se documentó un procedimiento de infección que aprovecha esta vulnerabilidad y la campaña comenzó en diciembre de 2023. Microsoft ya corrigió la vulnerabilidad, pero los investigadores advierten que los ciberdelincuentes pueden incorporar zero-days a cadenas de ataque avanzadas, como es el caso de Water Hydra.
Vía The Hacker News
