2 min Security

Hackers misbruiken Windows Defender zero-day voor DarkMe-malware

Hackers misbruiken Windows Defender zero-day voor DarkMe-malware

Een zero-day kwetsbaarheid in Windows Defender SmartScreen is onlangs misbruikt voor het verspreiden van de DarkMe-malware. Microsoft heeft inmiddels een patch uitgebracht om deze exploit te verhelpen.

De zero-day, aangeduid als CVE-2024-21412, heeft de Water Hydra- en DarkCasino-hackersbende in staat gesteld om de DarkMe remote access trojan te verspreiden. Dit bevestigt Microsoft nadat de kwetsbaarheid op Nieuwjaarsdag was ontdekt door onderzoekers van Trend Micro.

MotW-kwetsbaarheid

De kwetsbaarheid maakte het mogelijk om een speciaal aangepast bestand naar het slachtoffer te sturen en daarbij bepaalde beveiligingscontroles in Windows Defender SmartScreen te omzeilen. Hierbij werd misbruik gemaakt van de kwetsbaarheid in deze software, die het Windows-onderdeel Mark-of-the-Web (MotW) niet correct toepaste.

MotW is een essentieel Windows-onderdeel dat gebruikers waarschuwt wanneer ze bestanden openen of uitvoeren vanuit een niet-vertrouwde bron.

Bij de aanval kon een getroffen gebruiker echter niet worden gedwongen om de door de hackers gecontroleerde inhoud te bekijken om de aanval verder te laten verlopen. De hackers moesten hun slachtoffers nog steeds overtuigen om op de kwaadaardige link te klikken via sociale manipulatie, waarna de malware werd geïnstalleerd en zijn schadelijke werk kon beginnen.

De CVE-2024-21412-kwetsbaarheid gold niet alleen voor de DarkMe-RAT-malware. Het werd ook misbruikt om Windows-beveiligingsprompts te omzeilen bij het openen van URL-bestanden, waardoor de Phemedrone info-stealer-malware kon worden geïnstalleerd.

Financieel gewin

De verantwoordelijke hackers van Water Hydra en DarkCasino gebruikten de kwetsbaarheid voornamelijk voor financieel gewin. Hun doelwitten waren forex tradingforums en Telegram-kanalen waarin in aandelen werd gehandeld. Ze verspreidden onder meer een kwaadaardig aandelenoverzicht dat linkte naar een gecompromitteerde handelsinformatiesite uit Rusland, waarbij ze zich voordeden als een forex brokerplatform.

Microsoft heeft inmiddels aangegeven dat de kwetsbaarheid is verholpen. Er is echter een lijst van indicatoren beschikbaar waarmee gecontroleerd kan worden of systemen mogelijk toch nog besmet zijn met de malware.

Tip: Microsoft patcht BitLocker-omzeiling voor Windows 10-systemen