Gli esperti di Trend Micro hanno scoperto una vulnerabilità zero-day in Microsoft Defender che permette di aggirare la protezione SmartScreen e quindi di installare sul computer il malware DarkMe. In seguito alla segnalazione, l’azienda di Redmond ha incluso la patch negli aggiornamenti cumulativi di Windows 11 e 10 distribuiti martedì sera.
Complessa catena di infezione
La funzionalità SmartScreen permette di individuare pagine web sospette (ad esempio quelle dei siti di phishing) e download infetti. Viene mostrato un avviso di sicurezza che consente all’utente di prendere la decisione appropriata. A partire da fine dicembre 2023, il gruppo Water Hydra ha iniziato a sfruttare la vulnerabilità zero-day di Microsoft Defender, indicata con CVE-2024-21412.
La complessa catena di infezione inizia con una campagna di spear phishing sui forum di forex trading. Il link inserito nei post punta ad un sito russo compromesso, sul quale è pubblicato un presunto grafico azionario (file JPG). In realtà viene aperta una condivisione WebDav che non è segnalata da SmartScreen. Successivamente si innescano una serie di passi che portano all’installazione di DarkMe sul computer.
Il malware è un RAT (Remote Access Trojan) che consente l’accesso remoto al sistema e l’esecuzione di varie attività, tra cui il furto di dati e l’installazione di altri malware. Gli utenti devono quindi installare gli aggiornamenti cumulativi al più presto. La patch per la vulnerabilità CVE-2024-21412 risolve anche un altro bug di SmartScreen (CVE-2023-36025), solo parzialmente risolto nel mese di novembre 2023.
Ti potrebbe interessare
15 feb 2024