CVE-2024-21412: биржевые волки в ловушке трояна DarkMe

В рамках регулярного обновления безопасности Patch Tuesday, о котором мы уже писали ранее , компания Microsoft устранила уязвимость в SmartScreen , активно используемую хакерами для распространения трояна удалённого доступа DarkMe. В этой новости рассмотрим данную брешь более подробно.

Обнаружение zero-day уязвимости CVE-2024-21412 (CVSS: 8.1) пришлось на канун Нового Года, когда исследователи из Trend Micro заметили реальную эксплуатацию со стороны финансово мотивированной группы хакеров Water Hydra (они же DarkCasino).

Сама Microsoft описывает уязвимость как возможность неаутентифицированного атакующего отправлять своим жертвам специально созданные файлы, которые обходят стандартные проверки безопасности.

Для успешной атаки злоумышленнику необходимо убедить пользователя кликнуть по ссылке файла, так как без этого не начнётся процесс заражения. Тут в ход обычно идёт социальная инженерия.

Исследователь безопасности из Trend Micro, Питер Гирнус, который и сообщил о CVE-2024-21412, указал в своём техническом отчёте , что она позволяет обойти исправление другой уязвимости SmartScreen — CVE-2023-36025 (CVSS: 8.8), устранённой в ноябре 2023 года.

Целью атак, использующих эту уязвимость, стали трейдеры валютного рынка. По данным Trend Micro, злоумышленники нацеливались на кражу данных или развёртывание программ-вымогателей.

Атаки были организованы в основном через форумы по биржевой торговле и тематические Telegram-каналы, где и распространялась вредоносная ссылка, маскирующаяся под легитимный сайт для трейдеров.

Тактика киберпреступников включала размещение сообщений на разных языках с просьбами или предложениями помочь в торговле акциями, а также распространение поддельных инструментов и графиков для технического анализа. Итоговой целью мошенников было любыми средствами склонить трейдеров к установке вредоносного программного обеспечения DarkMe.

Ранее группа Water Hydra уже эксплуатировала zero-day уязвимости, включая критическую брешь в программном обеспечении WinRAR , затронувшую более 500 миллионов пользователей.

Все эти атаки подчёркивают важность постоянного обновления программного обеспечения для оперативного устранения уязвимостей, а также осведомлённости о существующих угрозах в области кибербезопасности. Только так можно эффективно защититься от хакеров и не стать жертвой финансового мошенничества.