È scattata l’allerta sicurezza Microsoft. Una falla di Windows Defender consente di installare un malware: tutto su cosa fare attenzione.
L’attività in rete è condizionata dai pericoli che gli hacker possono mettere in scena. Di recente si è diffusa una grande allerta per gli utenti Microsoft, in quanto i cybercriminali hanno sfruttato una falla presente in Windows Defender per diffondere un malware di accesso remoto.
Gli hacker cercando sempre di trovare piccoli spiragli per causare seri problemi alle aziende e agli utenti che utilizzano i servizi di una determinata azienda. In questo caso, i ricercatori di sicurezza di Trend Micro hanno intercettato una falla zero-day in Windows Defender SmartScreen, sfruttata poi dagli hacker.
La vulnerabilità, tracciata con il codice CVE-2024-21412, è stata utilizzata per dare vita ad attacchi mirati ad operatori di cambio che sono all’interno del mercato del trading in valute, con il possibile obiettivo finale di furto di informazioni o distribuzione successiva di ransomware.
Falla in Windows Defender attaccata dagli hacker: cosa sta accadendo
La vulnerabilità CVE-2024-21412 ha innescato un’altra problematica,CVE-2023-36025, che l’azienda americana aveva già corretto con il patch Tuesday di novembre e che risulta ancora sfruttabile in presenza di specifiche condizioni.
Il gruppo hacker ha preso di mira forum a tema trading forex e canali Telegram di trading azionario dando il via ad attacchi di spearphishing, con la diffusione di un grafico azionario collegato ad un portale di informazioni di trading russo compromesso, che fingeva di essere una piattaforma di broker forex.
Gli analisti di Trend Micro hanno spiegato che alla fine del mese di dicembre è iniziato un monitoraggio di una campagna del gruppo Water Hydra. Al suo interno erano presenti degli strumenti, tattiche e procedure per abusare di collegamenti internet ed elementi Web-based Distributed Authoring and Versioning (WebDAV).
La nuova falla è stata però corretta attraverso il rilascio di aggiornamento del patch Tuesday di questo mese, con Microsoft che ha specificato di come un utente non autenticato potrebbe inviare alla potenziale vittima un file predisposto ad aggirare i controlli di sicurezza visualizzati. Dall’altra parte, l’utente che riceve il file non lo visualizza obbligatoriamente, cosa che spinge l’aggressore a convincerlo ad agire.
L’obiettivo degli aggressori era tentare i trader ad installare il malware DarkMe attraverso tecniche di social engineering con la pubblicazione di messaggi in russo e inglese, proponendo consigli di trading e presunti strumenti di analisi finanziaria.
