La Falla in Windows Defender e l’Attacco di Spearphishing
Una grave falla di sicurezza è stata scoperta in Windows Defender SmartScreen dai ricercatori di sicurezza di Trend Micro. La vulnerabilità, identificata con il codice CVE-2024-21412, è stata sfruttata da un gruppo hacker noto come Water Hydra / DarkCasino per diffondere il pericoloso malware di accesso remoto DarkMe. Questa vulnerabilità ha aperto la strada a una serie di attacchi mirati, in particolare nei confronti degli “operatori di cambio che partecipano al mercato del trading in valute”, con l’obiettivo di rubare informazioni sensibili o distribuire ransomware.
La Catena di Vulnerabilità e le Tattiche del Gruppo Hacker
La vulnerabilità CVE-2024-21412 ha innescato un’altra vulnerabilità, CVE-2023-36025, precedentemente corretta da Microsoft con il patch Tuesday di novembre. Tuttavia, il gruppo hacker ha dimostrato che questa vulnerabilità risulta ancora sfruttabile in determinate condizioni, rivelando una catena di vulnerabilità che mette a rischio la sicurezza degli utenti di Windows Defender.
Il gruppo Water Hydra / DarkCasino ha messo in atto attacchi di spearphishing mirati a forum di trading forex e canali Telegram di trading azionario. Hanno utilizzato un’ingegnosa strategia, diffondendo un grafico azionario attraverso un collegamento a un sito di informazioni di trading russo compromesso. Questo sito, mascherato come una piattaforma di broker forex, ha servito da esca per attirare gli utenti ignari nel mondo del trading.
Abuso di Collegamenti Internet e WebDAV
Gli analisti di Trend Micro hanno rivelato che il gruppo Water Hydra ha iniziato una campagna verso la fine di dicembre 2023, focalizzandosi sull’abuso di collegamenti Internet (.URL) e componenti Web-based Distributed Authoring and Versioning (WebDAV). Hanno sfruttato la debolezza di SmartScreen, eludendo correttamente il Mark-of-the-Web (MotW), un componente critico di Windows che dovrebbe avvertire gli utenti in caso di file da fonti non attendibili.
Correzione della Falla e Contromisure di Microsoft
La falla CVE-2024-21412 è stata corretta con gli aggiornamenti del patch Tuesday di questo mese. Microsoft ha rilasciato una dichiarazione, affermando che “un utente malintenzionato non autenticato potrebbe inviare all’utente preso di mira un file appositamente predisposto per aggirare i controlli di sicurezza visualizzati”. Tuttavia, sottolinea che l’aggressore non ha il potere di forzare l’utente a visualizzare il contenuto, ma deve convincerlo ad agire facendo clic sul collegamento del file.
L’Inganno dei Trader Presi di Mira
Gli aggressori hanno mirato a trader specifici con l’intenzione di indurli ad installare il malware DarkMe attraverso tecniche di social engineering. Utilizzando messaggi in inglese e russo, hanno pubblicato informazioni apparentemente utili sul trading e sedicenti strumenti di analisi finanziaria. L’obiettivo finale era persuadere i trader a cliccare su collegamenti malevoli, dando così accesso al loro sistema e aprendo la porta all’installazione del malware DarkMe.
Tabella: Dettagli Tecnici della Falla e Aggiornamenti di Correzione
| Vulnerabilità | Codice CVE | Stato |
|---|---|---|
| Windows Defender SmartScreen | CVE-2024-21412 | Corretta |
| Catena di Vulnerabilità | CVE-2023-36025 | Sfruttabile |
Conclusioni: La scoperta di questa vulnerabilità critica in Windows Defender sottolinea l’importanza della sicurezza informatica in un mondo sempre più interconnesso. Gli attacchi mirati di spearphishing, la catena di vulnerabilità sfruttate dal gruppo Water Hydra / DarkCasino e le contromisure implementate da Microsoft evidenziano la necessità di costanti aggiornamenti e attenzione da parte degli utenti. La collaborazione tra ricercatori di sicurezza e sviluppatori è cruciale per identificare, affrontare e correggere queste minacce emergenti, proteggendo così la sicurezza e la privacy degli utenti online.
