La iniciativa Trend Micro Zero Day (ZDI) ha descubierto recientemente una vulnerabilidad crítica, identificada como CVE-2024-21412, a la que han denominado ZDI-CAN-23100.
La falla fue reportada a Microsoft como parte de una omisión de Microsoft Defender SmartScreen utilizada en una compleja cadena de ataques de día cero orquestada por el grupo APT conocido como Water Hydra (también conocido como DarkCasino). Sus objetivos eran los comerciantes de los mercados financieros.
A partir de finales de diciembre de 2023, Trend Micro observó una campaña de Water Hydra que empleaba herramientas, tácticas y procedimientos (TTP) similares que implicaban la explotación de accesos directos a Internet (.URL) y componentes de creación y control de versiones distribuidos basados en la web (WebDAV).
En este ataque, se utilizó CVE-2024-21412 para evadir Microsoft Defender SmartScreen e implantar a las víctimas el malware DarkMe. A través de la colaboración con Microsoft, el programa de recompensas por errores de ZDI garantizó una rápida divulgación y parcheo de esta vulnerabilidad.
Lea más sobre este parche: Microsoft corrige dos días cero en el martes de parches de febrero
El grupo Water Hydra, inicialmente confundido con el grupo Evilnum APT debido a similitudes en las técnicas de phishing, ha estado activo desde 2021, apuntando principalmente a la industria financiera. En particular, han explotado vulnerabilidades como CVE-2023-38831 y han demostrado un alto nivel de sofisticación técnica.
La cadena de ataques Water Hydra, presentada por Trend Micro en un aviso publicado el martes, implica métodos complejos para atraer a las víctimas, incluidas campañas de phishing en foros de comercio de divisas y acciones. Explotan el “protocolo de búsqueda” para manipular las vistas del Explorador de Windows y engañar a los usuarios para que hagan clic en archivos maliciosos de accesos directos a Internet.
Un análisis más detallado reveló que Water Hydra aprovechó CVE-2024-21412 para evitar Microsoft Defender SmartScreen. Al emplear una cascada de atajos de Internet, evadieron medidas de seguridad y ejecutaron cargas maliciosas, como el malware DarkMe, sin el conocimiento de los usuarios.
Según Trend Micro, Water Hydra’s modo de operación subraya la gravedad de las amenazas de día cero en la ciberseguridad.
“Cuando se enfrentan a intrusiones, comportamientos y rutinas inciertas, las organizaciones deben asumir que su sistema ya está comprometido o violado y trabajar para aislar de inmediato los datos o cadenas de herramientas afectados”, se lee en el aviso.
“Con una perspectiva más amplia y una respuesta rápida, las organizaciones pueden abordar las infracciones y proteger los sistemas restantes”.