Киберпреступники используют свежую уязвимость нулевого дня в Windows для установки трояна DarkMe. Microsoft вчера вечером пропатчила 0-day с выходом февральского набора обновлений.
По данным аналитиков из Trend Micro, за атаками стоит кибергруппировка, которую отслеживают под именами Water Hydra и DarkCasino. Microsoft со своей стороны предупреждает об эксплуатации 0-day:
«Не прошедший аутентификацию злоумышленник может отправить жертве специально подготовленный файл, который обойдёт проверки защитной функции Windows Defender SmartScreen».
Речь идёт об уязвимости под идентификатором CVE-2024-21412. Сегодня мы писали о февральских патчах, с выходом которых разработчики закрыли эту брешь.
Самая большая проблема для атакующих — обманом заставить целевого пользователя открыть присланный файл, поскольку эксплойт сработает только в таком случае.
«В конце декабря 2023 года мы начали наблюдать за активностью кибергруппы Water Hydra. Как выяснили наши эксперты, злоумышленники используют веб-ярлыки (.URL) и компоненты WebDAV», — говорится в отчёте Trend Micro.
«Выяснилось, что атакующим удаётся успешно обходить механизм SmartScreen, который при определённых условиях не мог корректно применить правила Mark-of-the-Web (MotW)».
В результате таких атак жертва получала на компьютер троян DarkMe. Индикаторы компрометации доступны по этой ссылке (TXT).
