Microsoft a corrigé aujourd’hui un Windows Defender SmartScreen zero-day exploité à l’état sauvage par un groupe de menaces motivé financièrement pour déployer le cheval de Troie d’accès à distance DarkMe (RAT).
Le groupe de piratage (suivi comme Water Hydra et DarkCasino) a été repéré en utilisant le jour zéro (CVE-2024-21412) lors d’attaques le jour de la Saint-Sylvestre par des chercheurs en sécurité de Trend Micro.
« Un attaquant non authentifié pourrait envoyer à l’utilisateur ciblé un fichier spécialement conçu pour contourner les contrôles de sécurité affichés », a déclaré Microsoft dans un avis de sécurité publié aujourd’hui.
« Cependant, l’attaquant n’aurait aucun moyen de forcer un utilisateur à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, l’attaquant devrait les convaincre d’agir en cliquant sur le lien du fichier. »
Peter Girnus, chercheur en sécurité chez Trend Micro, crédité pour avoir signalé ce jour zéro, a révélé que la faille CVE-2024-21412 contourne une autre vulnérabilité Defender SmartScreen (CVE-2023-36025).
CVE-2023-36025 a été corrigé lors du Patch Tuesday de novembre 2023 et, comme Trend Micro l’a révélé le mois dernier, il a également été exploité pour contourner les invites de sécurité Windows lors de l’ouverture des fichiers URL pour déployer le logiciel malveillant Phemedrone info-stealer.
Zero-day utilisé pour cibler les traders des marchés financiers
Le jour zéro que Microsoft a corrigé aujourd’hui a été utilisé dans des attaques ciblant « les traders de devises participant au marché du trading de devises à enjeux élevés », l’objectif final probable étant le vol de données ou le déploiement de ransomwares à un stade ultérieur.
« Fin décembre 2023, nous avons commencé à suivre une campagne du groupe Water Hydra qui contenait des outils, tactiques et procédures similaires (TTP) qui impliquaient d’abuser des raccourcis Internet (.URL) et des composants de création et de gestion de versions distribuées (WebDAV) basés sur le Web », a expliqué Trend Micro.
« Nous avons conclu que l’appel d’un raccourci dans un autre raccourci était suffisant pour échapper à SmartScreen, qui n’appliquait pas correctement Mark-of-the-Web (MotW), un composant Windows critique qui alerte les utilisateurs lors de l’ouverture ou de l’exécution de fichiers à partir d’une source non fiable. »
Water Hydra a exploité CVE-2024-21412 pour cibler les forums de trading forex et les canaux Telegram de négociation d’actions dans des attaques de harponnage, poussant un graphique boursier malveillant vers un site d’informations commerciales compromis en provenance de Russie (fxbulls[.] ru) se faisant passer pour une plateforme de courtier forex (fxbulls[.] avec).
L’objectif des attaquants était d’inciter les commerçants ciblés à installer le logiciel malveillant DarkMe via l’ingénierie sociale.
Les tactiques qu’ils ont utilisées incluent l’affichage de messages en anglais et en russe demandant ou offrant des conseils commerciaux et la diffusion d’actions contrefaites et d’outils financiers liés à l’analyse technique des graphiques et aux outils d’indicateurs graphiques.
Une liste complète des indicateurs de compromission (IOC) pour cette nouvelle campagne de logiciels malveillants DarkMe observée est disponible ici.
Les pirates de l’Hydra de l’eau ont exploité d’autres vulnérabilités zero-day dans le passé. Par exemple, ils ont utilisé une vulnérabilité de gravité élevée (CVE-2023-38831) dans le logiciel WinRAR utilisé par plus de 500 millions d’utilisateurs pour compromettre des comptes de trading plusieurs mois avant qu’un correctif ne soit disponible.
D’autres fournisseurs ont par la suite lié l’exploitation de CVE-2023-38831 à plusieurs groupes de piratage soutenus par le gouvernement, notamment les groupes de menaces Sandworm, APT28, APT40, DarkPink (NSFOCUS) et Konni (Knownsec) de Russie, de Chine et de Corée du Nord.
Aujourd’hui, Microsoft a corrigé un deuxième jour zéro Windows SmartScreen (CVE-2024-21351) exploité à l’état sauvage qui pourrait permettre aux attaquants d’injecter du code dans SmartScreen et d’obtenir l’exécution de code.