SmartScreen-Schwachstelle wird ausgenutzt, um Händler anzugreifen
Ein Cybersicherheitsunternehmen hat kürzlich eine Schwachstelle im Microsoft Defender SmartScreen entdeckt und bezeichnet sie als Zero-Day-Bedrohung. Die Zielgeräte sind mit hochgefährlicher Malware infiziert DarkMe-Schadprogramm durch diese SmartScreen-Schwachstelle.
Der Angriff auf die SmartScreen-Schwachstelle ist vermutlich das Werk einer fortgeschrittenen anhaltenden Bedrohung (APT) mit dem Namen Water Hydra, einer finanziell motivierten Kampagne, die auch den WinRAR-Zero-Day ausnutzt.
In diesem Artikel werden wir die Details der SmartScreen-Schwachstelle in umfassender Weise.
Hintergrund
Die Phishing-Kampagne der Gruppe Water Hydra wird seit Dezember 2023 verfolgt. Neben SmartScreen-Schwachstellewurde auch der Missbrauch der Uniform Resource Locators (URLs) und der Komponenten von Web-based Distributed Authoring and Versioning (WebDAV) mit Water Hydra in Verbindung gebracht.
Die Gruppe Water Hydra trat im Jahr 2021 auf den Plan und wurde sofort für ihre Phishing-Angriffe auf dem Finanzmarkt berüchtigt. Die Angriffe der Gruppe richteten sich gegen jede Art von Finanzplattform, seien es Banken, Wettseiten, Casinos, Devisen- und Aktienhandelsforen oder Kryptowährungsplattformen.
Wie funktioniert der Angriff auf die SmartyScreen-Schwachstelle?
Die SmartScreen-Schwachstelle von Microsoft Defender wurde auf raffinierte Weise ausgenutzt. Dabei wurde CVE-2024-21412 ausgenutzt, um den Microsoft Defender SmartScreen zu umgehen und die Geräte mit der DarkMe-Malware zu infizieren.
In Bezug auf die Angriffskette wird dem Benutzer ein Link zu einer harmlosen Stock-Chart-Bilddatei mit dem Titel “photo_2023-12-29.jpg.url”. Von hier aus wird der Benutzer auf eine andere URL mit dem Titel "fxbulls[.]ru" die ein bösartiges Installationsprogramm namens "7z.msi" auf ihren Systemen hinzufügt.
Der Benutzer wird auf eine andere URL verwiesen, nachdem er auf den bösartigen "fxbulls[.]ru". All dies wird durch die Windows-Suchfunktion ermöglicht. Die zweite URL wird auf einem entfernten Server gehostet, "2.url". Diese URL leitet den Benutzer zu einem CMD-Shell-Skript in einem ZIP-Archiv. Dieses Shell-Skript befindet sich auf dem Server "a2.zip/a2.cmd" gehostet, das ist derselbe Server.
Dem Opfer wird auf dem Bildschirm seines Geräts das Bild der Aktie angezeigt, während DarkMe im Hintergrund installiert wird.
Auswirkungen der SmartScreen-Schwachstelle
Die nachteiligen Auswirkungen von Angriffe auf SmartScreen-Schwachstellen auf Geräte sind weitreichend. Die DarkMe-Malware, mit der die Geräte infiziert sind, ist in der Lage, über die SmartScreen-Schwachstelle.
- Erfassung der Systeminformationen des Hosts
- Manipulation von Dateien
- Erstellung und Löschung von Ordnern
- Ausnutzung der Windows-Registrierung
- Ausführung beliebiger Befehle
- Bildschirmfotos aufnehmen
- Erzeugung von ZIP-Dateien
- Fähigkeit zur Selbstaktualisierung
Schlussfolgerung
Die SmartScreen-Schwachstelle ist eine ernsthafte Bedrohung der Cybersicherheit, ähnlich wie das FritzFrog-Botnetz. Obwohl die Schwachstelle von Microsoft mit dem SmartScreen-Schwachstellen-Patch im Februar-Update behoben hat, ist aber noch nicht alles in Ordnung.
Die SmartScreen-Schwachstellenbehebung funktioniert nicht, wenn das Opfer auf den Link mit harmlosem Inhalt klickt; offenbar wird das Gerät infiziert. Dies rechtfertigt verstärkte Cybersicherheitsmaßnahmen damit die Nutzer, insbesondere die Finanzmarkthändler, sicherstellen können SmartScreen-Sicherheitslücke verhindern.
Die für diesen Artikel verwendeten Quellen sind Die Hacker-Nachrichten und SecurityWeek.