ClickCease SmartScreen-Schwachstelle wird ausgenutzt, um Händler anzugreifen

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

SmartScreen-Schwachstelle wird ausgenutzt, um Händler anzugreifen

von Wajahat Raja

28. Februar 2024. TuxCare-Expertenteam

Ein Cybersicherheitsunternehmen hat kürzlich eine Schwachstelle im Microsoft Defender SmartScreen entdeckt und bezeichnet sie als Zero-Day-Bedrohung. Die Zielgeräte sind mit hochgefährlicher Malware infiziert DarkMe-Schadprogramm durch diese SmartScreen-Schwachstelle.

Der Angriff auf die SmartScreen-Schwachstelle ist vermutlich das Werk einer fortgeschrittenen anhaltenden Bedrohung (APT) mit dem Namen Water Hydra, einer finanziell motivierten Kampagne, die auch den WinRAR-Zero-Day ausnutzt.

In diesem Artikel werden wir die Details der SmartScreen-Schwachstelle in umfassender Weise.

Hintergrund

Die Phishing-Kampagne der Gruppe Water Hydra wird seit Dezember 2023 verfolgt. Neben SmartScreen-Schwachstellewurde auch der Missbrauch der Uniform Resource Locators (URLs) und der Komponenten von Web-based Distributed Authoring and Versioning (WebDAV) mit Water Hydra in Verbindung gebracht.

Die Gruppe Water Hydra trat im Jahr 2021 auf den Plan und wurde sofort für ihre Phishing-Angriffe auf dem Finanzmarkt berüchtigt. Die Angriffe der Gruppe richteten sich gegen jede Art von Finanzplattform, seien es Banken, Wettseiten, Casinos, Devisen- und Aktienhandelsforen oder Kryptowährungsplattformen.

Wie funktioniert der Angriff auf die SmartyScreen-Schwachstelle?

Die SmartScreen-Schwachstelle von Microsoft Defender wurde auf raffinierte Weise ausgenutzt. Dabei wurde CVE-2024-21412 ausgenutzt, um den Microsoft Defender SmartScreen zu umgehen und die Geräte mit der DarkMe-Malware zu infizieren.

In Bezug auf die Angriffskette wird dem Benutzer ein Link zu einer harmlosen Stock-Chart-Bilddatei mit dem Titel “photo_2023-12-29.jpg.url”. Von hier aus wird der Benutzer auf eine andere URL mit dem Titel "fxbulls[.]ru" die ein bösartiges Installationsprogramm namens "7z.msi" auf ihren Systemen hinzufügt.

Der Benutzer wird auf eine andere URL verwiesen, nachdem er auf den bösartigen "fxbulls[.]ru". All dies wird durch die Windows-Suchfunktion ermöglicht. Die zweite URL wird auf einem entfernten Server gehostet, "2.url". Diese URL leitet den Benutzer zu einem CMD-Shell-Skript in einem ZIP-Archiv. Dieses Shell-Skript befindet sich auf dem Server "a2.zip/a2.cmd" gehostet, das ist derselbe Server.
Dem Opfer wird auf dem Bildschirm seines Geräts das Bild der Aktie angezeigt, während DarkMe im Hintergrund installiert wird.

Auswirkungen der SmartScreen-Schwachstelle

Die nachteiligen Auswirkungen von Angriffe auf SmartScreen-Schwachstellen auf Geräte sind weitreichend. Die DarkMe-Malware, mit der die Geräte infiziert sind, ist in der Lage, über die SmartScreen-Schwachstelle.

  • Erfassung der Systeminformationen des Hosts
  • Manipulation von Dateien
  • Erstellung und Löschung von Ordnern
  • Ausnutzung der Windows-Registrierung
  • Ausführung beliebiger Befehle
  • Bildschirmfotos aufnehmen
  • Erzeugung von ZIP-Dateien
  • Fähigkeit zur Selbstaktualisierung

Schlussfolgerung

Die SmartScreen-Schwachstelle ist eine ernsthafte Bedrohung der Cybersicherheit, ähnlich wie das FritzFrog-Botnetz. Obwohl die Schwachstelle von Microsoft mit dem SmartScreen-Schwachstellen-Patch im Februar-Update behoben hat, ist aber noch nicht alles in Ordnung.

Die SmartScreen-Schwachstellenbehebung funktioniert nicht, wenn das Opfer auf den Link mit harmlosem Inhalt klickt; offenbar wird das Gerät infiziert. Dies rechtfertigt verstärkte Cybersicherheitsmaßnahmen damit die Nutzer, insbesondere die Finanzmarkthändler, sicherstellen können SmartScreen-Sicherheitslücke verhindern.

Die für diesen Artikel verwendeten Quellen sind Die Hacker-Nachrichten und SecurityWeek.

Zusammenfassung
SmartScreen-Schwachstelle wird ausgenutzt, um Händler anzugreifen
Artikel Name
SmartScreen-Schwachstelle wird ausgenutzt, um Händler anzugreifen
Beschreibung
Finanzmarkt-Händler sind durch die Microsoft Defender SmartScreen-Schwachstelle gefährdet. Erfahren Sie hier alles über diese neue Sicherheitslücke.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!