En el panorama actual de la seguridad cibernética, la detección temprana de amenazas y la respuesta rápida son esenciales para proteger los sistemas informáticos y la información personal. Una reciente revelación ha puesto de manifiesto una vulnerabilidad zero-day en Windows Defender, el popular software antivirus de Microsoft, que ha sido explotada para distribuir un tipo de malware conocido como DarkMe.
Microsoft ha actualizado una vulnerabilidad zero-day en SmartScreen de Windows Defender, explotada por un grupo con fines lucrativos para distribuir el troyano DarkMe. Este grupo, conocido como Water Hydra y DarkCasino, fue detectado usando la vulnerabilidad (CVE-2024-21412) en ataques durante la Nochevieja, según investigadores de Trend Micro.
Microsoft explicó en un comunicado de seguridad que "un atacante, sin autenticación, podría enviar un archivo diseñado específicamente para sortear controles de seguridad al usuario objetivo. Aunque el atacante no puede forzar al usuario a ver el contenido, necesitaría persuadirlo para que haga clic en el archivo."
Peter Girnus, de Trend Micro, quien reportó la vulnerabilidad, indicó que CVE-2024-21412 permite esquivar otra brecha en Defender SmartScreen (CVE-2023-36025), que se corrigió en el parche de noviembre de 2023. Trend Micro había informado que esta falla también se explotó para sortear advertencias de seguridad en Windows y distribuir el malware Phemedrone, un ladrón de información.
Conoce más sobre: DarkCasino: Descubriendo la Nueva Amenaza APT
La vulnerabilidad zero-day recientemente parcheada por Microsoft fue empleada en ataques contra operadores en el volátil mercado de divisas, buscando posiblemente el robo de datos o preparando el terreno para futuros ataques de ransomware.
"A finales de diciembre de 2023, identificamos una campaña del grupo Water Hydra caracterizada por el uso de accesos directos a Internet (.URL) y componentes WebDAV para evadir medidas de seguridad", indicó Trend Micro.
Este grupo explotó la vulnerabilidad CVE-2024-21412, dirigida a foros de forex y canales de Telegram de trading, mediante un gráfico de acciones falso vinculado a un sitio ruso comprometido, imitando una plataforma de corretaje legítima. El propósito era engañar a los traders para que, a través de ingeniería social, descargaran el malware DarkMe.
Entre sus estrategias, publicaban mensajes en inglés y ruso ofreciendo consejos de trading, y promocionaban análisis técnicos y herramientas de indicadores falsificados. Además, Water Hydra ha explotado otras vulnerabilidades zero-day previamente, como una en WinRAR, afectando a cuentas de trading antes de que se dispusiera de un parche.
Este exploit de WinRAR fue luego asociado a varios grupos de ciberespionaje respaldados por estados nacionales. Microsoft también ha parcheado otra vulnerabilidad de SmartScreen (CVE-2024-21351) que permitiría a atacantes modificar SmartScreen e inyectar código malicioso.
Te podrá interesar leer: ¿Tu software está al día?: Importancia de los Parches
La reciente explotación de una vulnerabilidad zero-day en Windows Defender para distribuir el malware DarkMe subraya la importancia de una vigilancia constante en el ámbito de la seguridad cibernética. Aunque los usuarios finales pueden sentirse desamparados frente a amenazas de este calibre, tomar medidas proactivas para proteger sus sistemas puede hacer una gran diferencia en la prevención de ataques y en la minimización de daños en caso de que ocurran.
Mantenerse informado sobre las últimas amenazas y seguir las mejores prácticas de seguridad son pasos clave en la defensa contra los ataques cibernéticos. La seguridad en línea es una responsabilidad compartida, y todos tenemos un papel que desempeñar en la protección de nuestro espacio digital.