Observatorio de Amenazas

Microsoft parcha Windows Defender SmartScreen explotado en ataques

Escrito por Javiera González | 15-02-24

Microsoft ha parcheado hoy una vulnerabilidad de día cero (CVE-2024-21412) en Windows Defender SmartScreen que estaba siendo explotada activamente por un grupo de hackers con fines financieros.

La vulnerabilidad fue utilizada para implementar el troyano de acceso remoto DarkMe (RAT) en ataques dirigidos a operadores del mercado financiero. Los atacantes utilizaron una combinación de técnicas de ingeniería social y la vulnerabilidad para engañar a las víctimas para que instalaran el malware. Se recomienda a los usuarios que instalen las últimas actualizaciones de seguridad de Microsoft para protegerse de esta amenaza.

Detalles de esta vulnerabilidad

Esta vulnerabilidad de día cero permite a un atacante no autenticado enviar un archivo especialmente diseñado a un usuario objetivo que puede eludir las comprobaciones de seguridad de Windows Defender SmartScreen.

El atacante no puede obligar al usuario a abrir el archivo, pero puede utilizar técnicas de ingeniería social para convencerlo de que lo haga. La vulnerabilidad fue explotada por un grupo de hackers conocido como Water Hydra en ataques dirigidos a operadores del mercado de divisas.

Los ataques se llevaron a cabo a través de foros de comercio de divisas y canales de Telegram, donde los atacantes difundían un gráfico de acciones malicioso que enlazaba con un sitio web comprometido.

El sitio web comprometido se hacía pasar por una plataforma de corredores de divisas y estaba diseñado para engañar a los usuarios para que instalaran el malware DarkMe.
DarkMe es un troyano de acceso remoto que permite a los atacantes controlar de forma remota los equipos infectados.

Recomendaciones para estar protegido

  • Instalar las últimas actualizaciones de seguridad de Microsoft para protegerse de esta amenaza.
  • Tomar precaución al abrir archivos de fuentes no confiables.
  • No hacer clic en enlaces en correos electrónicos o mensajes de fuentes desconocidas.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin de tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

  • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
  • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
  • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

CONOCE NUESTROS SERVICIOS ADMINISTRADOS

Fuentes

https://www.bleepingcomputer.com/news/security/hackers-used-new-windows-defender-zero-day-to-drop-darkme-malware/

https://thehackernews.com/2024/02/darkme-malware-targets-traders-using.html

https://cyber.vumetric.com/security-news/2024/02/13/hackers-used-new-windows-defender-zero-day-to-drop-darkme-malware/