Una falla de seguridad recientemente revelada en Microsoft Defender SmartScreen ha sido explotada como un d\u00eda cero por un actor de amenaza persistente avanzado llamado Water Hydra (tambi\u00e9n conocido como DarkCasino) dirigido a los comerciantes del mercado financiero.<\/p>\n
Trend Micro, que comenz\u00f3 a rastrear la campa\u00f1a a fines de diciembre de 2023, dijo que implica la explotaci\u00f3n de CVE-2024-21412, una vulnerabilidad de elusi\u00f3n de seguridad relacionada con archivos de acceso directo a Internet (.URL). <\/p>\n
“En esta cadena de ataque, el actor de amenazas aprovech\u00f3 CVE-2024-21412 para eludir Microsoft Defender SmartScreen e infectar a las v\u00edctimas con el malware DarkMe”, dijo la firma de ciberseguridad. dicho<\/a> en un informe del martes.<\/p>\n Microsoft, que abord\u00f3 la falla en su actualizaci\u00f3n del martes de parches de febrero, dijo que un atacante no autenticado podr\u00eda explotar la falla enviando al usuario objetivo un archivo especialmente dise\u00f1ado para evitar los controles de seguridad mostrados.<\/p>\n Sin embargo, una explotaci\u00f3n exitosa depende del requisito previo de que el actor de la amenaza convenza a la v\u00edctima de hacer clic en el enlace del archivo para ver el contenido controlado por el atacante.<\/p>\n El procedimiento de infecci\u00f3n documentado por Trend Micro aprovecha CVE-2024-21412 para eliminar un archivo de instalaci\u00f3n malicioso (“7z.msi”) al hacer clic en una URL con trampa (“fxbulls[.]ru”) distribuido a trav\u00e9s de foros de comercio de divisas con el pretexto de compartir un enlace a una imagen de un gr\u00e1fico de acciones que, en realidad, es un archivo de acceso directo a Internet (“photo_2023-12-29.jpg.url”).<\/p>\n “La p\u00e1gina de inicio en fxbulls[.]ru contiene un enlace a un recurso compartido WebDAV malicioso con una vista filtrada”, dijeron los investigadores de seguridad Peter Girnus, Aliakbar Zahravi y Simon Zuckerbraun.<\/p>\n “Cuando los usuarios hacen clic en este enlace, el navegador les pedir\u00e1 que lo abran en el Explorador de Windows. Este no es un mensaje de seguridad, por lo que el usuario podr\u00eda no pensar que este enlace sea malicioso”.<\/p>\n El truco inteligente que hace esto posible es el abuso del protocolo de aplicaci\u00f3n de b\u00fasqueda por parte del actor de amenazas, que se utiliza para llamar a la aplicaci\u00f3n de b\u00fasqueda de escritorio en Windows y del que se ha abusado en el pasado para entregar malware.<\/p>\n El archivo de acceso directo a Internet fraudulento, por su parte, apunta a otro archivo de acceso directo a Internet alojado en un servidor remoto (“2.url”), que, a su vez, apunta a un script de shell CMD dentro de un archivo ZIP alojado en el mismo servidor ( “a2.zip\/a2.cmd”).<\/p>\n Esta referencia inusual se debe al hecho de que “llamar a un acceso directo dentro de otro acceso directo fue suficiente para evadir SmartScreen, que no pudo aplicar correctamente Mark of the Web (MotW), un componente cr\u00edtico de Windows que alerta a los usuarios cuando abren o ejecutan archivos de una fuente no confiable”. “.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/El-malware-DarkMe-se-dirige-a-los-comerciantes-que-utilizan.jpg\")
<\/a><\/center><\/div>\n