Февральские патчи Microsoft исправляют 73 уязвимости (а также еще шесть уязвимостей в Microsoft Edge и уязвимость в Mariner), включая две находящиеся под атаками проблемы нулевого дня. В частности, уязвимость CVE-2024-21412 уже используется хак-группой DarkCasino (она же Water Hydra) для атак на финансовых трейдеров.
В общей сложности в рамках этого вторника обновлений было исправлено пять критических уязвимостей, связанных с отказом в обслуживании (DoS), удаленным выполнением кода, раскрытием информации и повышением привилегий.
Среди устраненных проблем были и две уязвимости нулевого дня, которые уже взяты на вооружение хакерами. Первая из них, CVE-2024-2135, представляет собой обход защиты Windows SmartScreen. В компании не сообщают, каким образом и кем эта уязвимость использовалась в атаках.
«Авторизованный злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл, — поясняет Microsoft. — Злоумышленник, успешно воспользовавшийся этой уязвимостью, может обойти SmartScreen».
Вторая проблема, CVE-2024-21412, связана с файлами Internet Shortcut и была обнаружена специалистами Trend Micro.
«Злоумышленник, не прошедший аутентификацию, может отправить целевому пользователю специально подготовленный файл, предназначенный для обхода отображаемых предупреждений безопасности, — сообщает Microsoft. — Однако злоумышленник не сможет вынудить пользователя просмотреть контролируемое им содержимое. Вместо этого атакующему придется убедить пользователя совершить действие, кликнув на файл».
В Trend Micro объясняют, что помимо этого уязвимость CVE-2024-21412 позволяет использовать другой баг в Defender SmartScreen (CVE-2023-36025). Эта проблема уже получила патч в ноябре 2023 года и использовалась для развертывания малвари Phemedrone, тоже обходя предупреждений безопасности, которые появляются в Windows при открытии URL-файлов.
По данным исследователей, свежий 0-day использовался в атаках, направленных на «валютных трейдеров, участвующих в валютных торгах с высокими ставками». Конечной целью этих атак, вероятно, была кража данных или развертывание вымогательского ПО.
«В конце декабря 2023 года мы начали отслеживать кампанию группировки Water Hydra, которая использовала схожие инструменты и тактики, в том числе задействовала файлы .URL и компоненты WebDAV (Web-based Distributed Authoring and Versioning), — пояснили в Trend Micro. — Мы пришли к выводу, что вызова ярлыка из другого ярлыка было достаточно для обхода SmartScreen, который не мог должным образом использовать Mark-of-the-Web (MotW), критически важный компонент Windows, предупреждающий пользователей об открытии или запуске файлов из ненадежного источника».
Water Hydra эксплуатировала CVE-2024-21412 для атак на форумы форекс-трейдеров и Telegram-каналы, связанные с биржевой торговлей. Для этого хакеры использовали направленные фишинговые атаки, распространяя вредоносные ссылки на взломанный сайт fxbulls[.]ru, выдававший себя за платформу форекс-брокера fxbulls[.]com. Цель злоумышленников заключалась в том, чтобы с помощью социальной инженерии убедить жертв установить троян удаленного доступа DarkMe.
Известно, что для своих фишинговых атак хакеры применяли такие приемы, как размещение сообщений на английском и русском языках с предложением торговых рекомендаций (или наоборот с просьбой о них), а также распространение фальшивых биржевых и финансовых инструментов, связанных с техническим анализом.
