A Windows saját vírusírtójával telepítették a gépre a kártékony programot

A Microsoft ma kijavította a Windows Defender SmartScreen egy érzékeny nulladik napi sérülékenyégét. A pénzügyileg motivált támadó csoport kereskedőket megcélozva a DarkMe távoli hozzáférésű trójait (RAT) telepített az áldozatok gépére. 

Windows sérülékenységet kihasználva telepítettek vírust a csalók

A hackercsoport (amely Water Hydra és DarkCasino néven ismert) egy nulladik napi sérülékenységet (CVE-2024-21412) használt ki. A Windows sérülékenységet a Trend Micro biztonsági kutatói fedeztek fel a szilveszter napján történt támadásokban.

A „nulladik nap” egy tág fogalom, amely a frissen felfedezett biztonsági résekre utal, amelyeket a hackerek a rendszerek megtámadására használhatnak fel. A kifejezés arra a tényre utal, hogy a fejlesztők csak most szereztek tudomást a hibáról – ami azt jelenti, hogy nulla nap áll rendelkezésére a javításra.

„Egy támadó egy speciálisan kialakított fájlt tudott átküldeni a megcélzott áldozatnak, amely a biztonsági ellenőrzések megkerülésére szolgál” – áll a Microsoft ma kiadott közleményében.

A támadó azonban nem kényszerítheti a felhasználót a támadó által irányított tartalom megtekintésére. Ugyanis ahhoz, hogy települjön a vírus, rá kellett vennie az áldozatot, hogy a fájl hivatkozására kattintson. Utána azonban a Windows Defender sem védte meg az áldozatot.

Több sebezhetőség egymásra épül

A Trend Micro biztonságkutatója, Peter Girnus, akit a nulladik napi sérülékenységet jegyezte fel, rámutatott arra is, hogy a CVE-2024-21412 hiba megkerül egy másik Defender SmartScreen sebezhetőséget (CVE-2023-36025).

A CVE-2023-36025-öt a 2023. novemberi csomagban javították. A Trend Micro a múlt hónapban felfedte, arra használták a támadók a sérülékenységet, hogy megkerülje a Windows biztonsági utasításait az URL-fájlok megnyitásakor miközben telepíti a Phedrone információlopó rosszindulatú programot.

Kereskedők a célpontban

A Microsoft által ma befoltozott biztonsági rést a nagy téttel játszó devizakereskedési piacon részt vevő kereskedőket célzó támadásoknál használták fel. Valószínűleg az adatlopás vagy a zsarolóprogramok későbbi telepítése volt a támadók célja.

2023 decemberének végén elkezdték nyomon követni a Water Hydra csoport kampányát, amely hasonló eszközöket, taktikákat és eljárásokat tartalmazott, amelyek az internetes parancsikonokkal (.URL) és a webalapú elosztott szerzői és verziókezelési (WebDAV) összetevőkkel való visszaélést tartalmaztak. Arra a következtetésre jutottak, hogy egy parancsikon meghívása egy másik parancsikonon belül elegendő ahhoz, hogy elkerülje a SmartScreen-t. Ez utóbbi ugyanis nem tudta megfelelően alkalmazni a Mark-of-the-Web (MotW) alkalmazását, amely egy kritikus Windows-komponens. Ez figyelmezteti ugyanis a felhasználókat, amikor nem megbízható forrásból származó fájlokat nyitnak meg vagy futtatnak.

A Water Hydra a CVE-2024-21412-t a devizakereskedési fórumok és a tőzsdei tőzsdei csatornákon keresztül juttatta el áldozataihoz. A program telepítésével adathalász támadásokat indítottak és rosszindulatú programkódot tartalmazó részvénydiagramot adtak ki egy Oroszországból származó, kompromittált kereskedési információs oldalra (fxbulls[.]ru), amely egy forex bróker platformnak (fxbulls[.]com) adta ki magát.

Social engineering segítségével verték át az áldozatokat

A támadók célja az volt, hogy rávegyék a megcélzott kereskedőket a DarkMe rosszindulatú program telepítésére a social engineering segítségével. Azaz beférköztek az áldozatok bizalmába.

Az általuk alkalmazott taktikák közé tartozik az angol és orosz nyelvű üzenetek közzététele, amelyekben kereskedési útmutatást kértek vagy ajánlottak fel, valamint feltört technikai elemzéséhez szükséges eszközöket osztottak meg.

A Water Hydra hackerei korábban más, nulladik napi sebezhetőséget is kihasználtak már. Például a WinRAR szoftverben egy súlyos sérülékenység segítségével (CVE-2023-38831) több mint 500 millió felhasználó használt a kereskedési számlákat törtek fel hónapokkal azelőtt, hogy a javítás elérhető lett volna.

Más gyártók később a CVE-2023-38831 kiaknázását több, a kormány által támogatott hackercsoporttal is összekapcsolták, köztük a Sandworm, APT28, APT40, DarkPink (NSFOCUS) és Konni (Knownsec) csoportokkal kötötték össze a támadásokat, amik Oroszországból, Kínából és Észak-Koreából indíthattak.