La vulnerabilidad solucionada se convirtió en un canal para la infiltración en los sistemas.
Los especialistas de Cyble informan que los hackers han encontrado una manera de eludir la protección de Microsoft SmartScreen para distribuir software malicioso en los dispositivos de los usuarios. Una vulnerabilidad en SmartScreen permite ingresar al sistema a través del Windows Defender e infectar los dispositivos.
En enero de 2024, el grupo DarkGate explotó la vulnerabilidad CVE-2024-21412 (con una puntuación de CVSS de 8.1) para entregar instaladores maliciosos que imitan aplicaciones populares como iTunes, Notion y NVIDIA. Microsoft solucionó la vulnerabilidad en febrero, pero otro grupo, Water Hydra, continuó utilizando la falla para propagar software malicioso, incluyendo el troyano DarkMe.
La infección inicial comienza con un correo electrónico supuestamente de una fuente confiable. El correo está diseñado para incitar al destinatario a hacer clic en un enlace que engaña al usuario para que visite una URL alojada en un recurso remoto WebDAV. Al hacer clic en la URL, se activa un archivo LNK alojado en el mismo recurso WebDAV, iniciando el proceso de infección.
El lanzamiento de enlaces URL permite eludir la verificación de SmartScreen e iniciar un ataque de múltiples etapas utilizando scripts de PowerShell y JavaScript. Finalmente, se instala en los dispositivos el software malicioso Lumma y Meduza Stealer.
Los scripts de PowerShell descifran y ejecutan cargas útiles adicionales, instalan software malicioso y muestran un documento falso en el dispositivo de la víctima. Los métodos de ataque incluyen la carga lateral de DLL y la explotación del cargador IDAT Loader para entregar Lumma y Meduza Stealer. El software malicioso luego se inyecta en explorer.exe.
El ataque está dirigido a individuos y organizaciones en todo el mundo. La campaña utiliza tácticas como documentos fiscales falsos en español, correos electrónicos del Departamento de Transporte de EE.UU. y formularios de Medicare.
El aumento en el uso de la vulnerabilidad CVE-2024-21412, junto con enfoques tan sofisticados, subraya la necesidad de medidas de seguridad proactivas y cambios constantes para contrarrestar nuevas amenazas. Y la disponibilidad del modelo Ransomware-as-a-Service (RaaS) solo puede agravar la situación, lo que hace que sea aún más relevante tomar medidas para protegerse contra tales amenazas.