مایکروسافت یک بسته بروز رسانی برای آسیب روز صفر مربوط به  Windows Defender SmartScreen را منتشرکرده است که توسط یک گروه تهدید کننده با انگیزه مالی برای استقرار تروجان دسترسی از راه دور DarkMe (RAT) مورد سوء استفاده قرار گرفته است.

این گروه هکر که تحت عنوان (Water Hydra و DarkCasino) ردیابی شده اند با استفاده از آسیب روز صفر (CVE-2024-21412) در حملات شب سال نو توسط محققان امنیتی Trend Micro شناسایی شدند مایکروسافت در یک توصیه امنیتی که منتشر شد گفت: "یک مهاجم احراز هویت نشده می‌تواند یک فایل ساخته شده خاص را برای کاربر هدف ارسال کند که برای دور زدن بررسی‌های امنیتی طراحی شده است. با این حال، مهاجم هیچ راهی برای مجبور کردن کاربر به مشاهده محتوای کنترل شده توسط مهاجم ندارد در عوض، مهاجم باید آنها را متقاعد کند که اقدامی انجام دهند، روی پیوند ارسالی کلیک کنند."

پیتر گیرنوس، محقق امنیتی Trend Micro که مسئول گزارش این روز صفر است، فاش کرد که نقص CVE-2024-21412 یکی دیگر از آسیب‌پذیری‌های Defender SmartScreen (CVE-2023-36025) را دور می‌زند که در ادامه سریعا وصله شد همچنین Trend Micro در ماه گذشته فاش کرد، هنگام باز کردن فایل های URL برای سرقت اطلاعات از بدافزار Phemedrone برای دور زدن درخواست های امنیتی ویندوز سوء استفاده شده است.

Zero-day برای هدف قرار دادن معامله گران بازار مالی استفاده می شود.

Trend Micro توضیح داد: "روز صفری که مایکروسافت وصله کرد در حملاتی استفاده شد که «معامله‌کنندگان ارز خارجی شرکت‌کننده در بازار معاملات ارزی با ریسک بالا» را با هدف سرقت داده یا استقرار باج‌افزار مورد هدف قرار می‌دادند در اواخر دسامبر 2023، ما ردیابی کمپینی توسط گروه Water Hydra را آغاز کردیم که حاوی ابزارها، تاکتیک‌ها و رویه‌های مشابه (TTP) بود که شامل سوء استفاده از میانبرهای اینترنتی (URL) و سوء استفاده از ویرایش و مدیریت مشترک فایل‌ها روی سرورهای وب از راه دور (WebDAV) بود.

ما به این نتیجه رسیدیم که فراخوانی یک میانبر در میان‌بر دیگر برای فرار از SmartScreen کافی است، که نتوانست به درستی Mark-of-the-Web (MotW) را اعمال کند، یک مؤلفه حیاتی ویندوز که هنگام باز کردن یا اجرای فایل‌ها از یک منبع نامعتبر به کاربران هشدار می‌دهد. Water Hydra از CVE-2024-21412 برای هدف قرار دادن انجمن‌های معاملات فارکس و کانال‌های تلگرامی معاملات سهام در حملات spearphishing استفاده کرد و یک نمودار سهام مخرب را که به یک سایت اطلاعات معاملاتی در معرض خطر از روسیه پیوند می‌خورد (fxbulls[.]ru) با جعل هویت یک پلتفرم کارگزار فارکس (fxbulls) هدایت کرد.

هدف مهاجمان فریب معامله گران هدف برای نصب بدافزار DarkMe از طریق مهندسی اجتماعی بود تاکتیک‌هایی که آن‌ها استفاده کردند شامل ارسال پیام‌هایی به زبان انگلیسی و روسی برای درخواست یا ارائه راهنمایی معاملاتی و انتشار سهام و ابزارهای مالی تقلبی مربوط به تجزیه و تحلیل تکنیکی نمودار و ابزارهای نشانگر نمودار است هکرهای Water Hydra در گذشته از آسیب‌پذیری‌های روز صفر دیگر سوء استفاده کرده‌اند به عنوان مثال، آنها از یک آسیب‌پذیری با شدت بالا (CVE-2023-38831) در نرم‌افزار WinRAR که بیش از 500 میلیون کاربر استفاده می‌کردند برای به خطر انداختن حساب‌های تجاری چند ماه قبل از عرضه وصله استفاده کردند.

سایر فروشندگان بعداً بهره برداری CVE-2023-38831 را به چندین گروه هکر تحت حمایت دولت مرتبط کردند، از جمله گروه های تهدید Sandworm، APT28، APT40، DarkPink (NSFOCUS) و Konni (Knownsec) از روسیه، چین و کره شمالی.

امروز مایکروسافت دومین وصله بروزرسانی Windows SmartScreen Zero-day (CVE-2024-21351) را اصلاح کرد که مورد سوء استفاده قرار می گرفت و می توانست به مهاجمان اجازه دهد کد را به SmartScreen تزریق کنند و اجرای کد را به دست آورند.