Una falla de seguridad recientemente revelada en Microsoft Defender SmartScreen ha sido explotada como un día cero por un actor de amenaza persistente avanzado llamado Water Hydra (también conocido como DarkCasino) dirigido a los comerciantes del mercado financiero.
Trend Micro, que comenzó a rastrear la campaña a fines de diciembre de 2023, dijo que implica la explotación de CVE-2024-21412, una vulnerabilidad de elusión de seguridad relacionada con archivos de acceso directo a Internet (.URL).
«En esta cadena de ataque, el actor de amenazas aprovechó CVE-2024-21412 para eludir Microsoft Defender SmartScreen e infectar a las víctimas con el malware DarkMe», dijo la firma de ciberseguridad. dicho en un informe del martes.
Microsoft, que abordó la falla en su actualización del martes de parches de febrero, dijo que un atacante no autenticado podría explotar la falla enviando al usuario objetivo un archivo especialmente diseñado para evitar los controles de seguridad mostrados.
Sin embargo, una explotación exitosa depende del requisito previo de que el actor de la amenaza convenza a la víctima de hacer clic en el enlace del archivo para ver el contenido controlado por el atacante.
El procedimiento de infección documentado por Trend Micro aprovecha CVE-2024-21412 para eliminar un archivo de instalación malicioso («7z.msi») al hacer clic en una URL con trampa («fxbulls[.]ru») distribuido a través de foros de comercio de divisas con el pretexto de compartir un enlace a una imagen de un gráfico de acciones que, en realidad, es un archivo de acceso directo a Internet («photo_2023-12-29.jpg.url»).
«La página de inicio en fxbulls[.]ru contiene un enlace a un recurso compartido WebDAV malicioso con una vista filtrada», dijeron los investigadores de seguridad Peter Girnus, Aliakbar Zahravi y Simon Zuckerbraun.
«Cuando los usuarios hacen clic en este enlace, el navegador les pedirá que lo abran en el Explorador de Windows. Este no es un mensaje de seguridad, por lo que el usuario podría no pensar que este enlace sea malicioso».
El truco inteligente que hace esto posible es el abuso del protocolo de aplicación de búsqueda por parte del actor de amenazas, que se utiliza para llamar a la aplicación de búsqueda de escritorio en Windows y del que se ha abusado en el pasado para entregar malware.
El archivo de acceso directo a Internet fraudulento, por su parte, apunta a otro archivo de acceso directo a Internet alojado en un servidor remoto («2.url»), que, a su vez, apunta a un script de shell CMD dentro de un archivo ZIP alojado en el mismo servidor ( «a2.zip/a2.cmd»).
Esta referencia inusual se debe al hecho de que «llamar a un acceso directo dentro de otro acceso directo fue suficiente para evadir SmartScreen, que no pudo aplicar correctamente Mark of the Web (MotW), un componente crítico de Windows que alerta a los usuarios cuando abren o ejecutan archivos de una fuente no confiable». «.
El objetivo final de la campaña es entregar sigilosamente un troyano de Visual Basic conocido como DarkMe en segundo plano mientras se muestra el gráfico de valores a la víctima para mantener la artimaña una vez completada la cadena de explotación e infección.
DarkMe viene con capacidades para descargar y ejecutar instrucciones adicionales, además de registrarse en un servidor de comando y control (C2) y recopilar información del sistema comprometido.
El desarrollo se produce en medio de una nueva tendencia en la que los días cero encontrados por grupos de delitos cibernéticos terminan incorporándose a cadenas de ataque desplegadas por grupos de piratería de estados-nación para lanzar ataques sofisticados.
«Water Hydra posee el conocimiento técnico y las herramientas para descubrir y explotar vulnerabilidades de día cero en campañas avanzadas, implementando malware altamente destructivo como DarkMe», dijeron los investigadores.