Scoperta e risolta una falla molto pericolosa in Windows Defender: cosa è successo e come Microsoft ha risolto il problema.
Una vulnerabilità, presente in Windows Defender, è stata sfruttata per la diffusione di malware di accesso remoto. La scoperta, fatta di recente, che ha fatto emergere, sin da subito, un importante problema di sicurezza, prontamente risolto da Microsoft nel corso dell’aggiornamento di sicurezza di febbraio: in sostanza, forum e canali Telegram focalizzati sul forex sono stati esposti a un attacco informatico organizzato a regola d’arte. Scopriamo, dunque, cosa è successo e come Microsoft è intervenuta per risolvere tale criticità.
Microsoft individua una falla in Windows Defender
I ricercatori della sicurezza di Trend Micro hanno scoperto la falla zero-day, presente in Windows Defender SmartScreen. Un gruppo di cybercriminali ha approfittato, infatti, di questa vulnerabilità per diffondere DarkMe, un pericoloso strumento di accesso remoto.
Identificata come CVE-2024-21412, la vulnerabilità è stata sfruttata per realizzare attacchi mirati contro gli operatori del mercato valutario, presumibilmente con l’intento di rubare informazioni riservate e sensibili e per preparare il terreno a future campagne di ransomware.
Curioso ma vero, pare che CVE-2024-21412 attivi una vulnerabilità in precedenza conosciuta e corretta da Microsoft, identificata come CVE-2023-36025. Nonostante la correzione apportata con l’aggiornamento di novembre, tale vulnerabilità risulta essere ancora sfruttabile in certe circostanze.
Chi ha sferrato l’attacco informatico
Trend Micro ha identificato il gruppo di hacker, con il nome Water Hydra/DarkCasino, ha avuto come obiettivo, nello specifoco, i forum di trading forex e canali Telegram di trading azionario. Il gruppo, nello specifico, ha condotto attacchi di spearphishing inviando un grafico azionario tramite un sito di trading russo compromesso, mascherato da piattaforma di brokeraggio forex.
Gli analisti di Trend Micro hanno rivelato che, hanno iniziato a monitorare una campagna di Water Hydra – a partire da fine dicembre 2023 – che faceva uso di tecniche avanzate per sfruttare i collegamenti internet e i componenti Web-based Distributed Authoring and Versioning (WebDAV).
Si è concluso che l’uso di un collegamento all’interno di un altro era sufficiente per bypassare SmartScreen, incapace di implementare correttamente il Mark-of-the-Web (MotW), elemento fondamentale di Windows che avverte gli utenti dell’apertura o dell’esecuzione di file provenienti da fonti non sicure.
Come è stato risolto il problema
Microsoft ha risolto questa nuova vulnerabilità con l’aggiornamento di sicurezza di febbraio, precisando che un aggressore, pur non potendo costringere un utente a visualizzare un contenuto compromesso, potrebbe indurlo a farlo attraverso tecniche di ingegneria sociale.
Gli hacker puntavano a convincere i trader a installare il malware DarkMe, pubblicando annunci in inglese e russo, offrendo – al contempo – consigli di trading e falsi strumenti di analisi finanziaria.