La compañía de seguridad Trend Micro ha hallado una vulnerabilidad importante en la herramienta antivirus de Microsoft, Windows Defender, y asegura que ha sido explotada de manera activa por el grupo de piratas informáticos Water Hydra.
Este grupo de amenazas persistentes avanzadas tiene motivaciones financieras y está buscando comprometer a los operadores de divisas que participan en el mercado de divisas de alto riesgo.
La empresa descubrió el problema justo el día de Nochevieja. Nombrada como CVE-2024-21412 es una vulnerabilidad activa de día cero que se publica ahora por primera vez.
Un detalle interesante es que la CVE-2024-21412 es en sí misma una simple derivación de la CVE-2023-36025, lo que pondría de manifiesto la facilidad con la que los grupos APT pueden identificar y eludir los parches limitados de los proveedores.
Trend Micro ha hecho la pertinente comunicación responsable al gigante tecnológico y ha brindado un parche virtual para proteger sus sistemas de la explotación hasta que pueda aplicarse un parche oficial.
"Se aconseja a las organizaciones que tomen medidas inmediatas en respuesta a la explotación activa en curso de esta vulnerabilidad por parte de los ciberdelincuentes", señala la firma.
Cómo están operando
En este caso los actores de amenazas están utilizando una sofisticada cadena de ataques de día cero para permitir un bypass de Windows Defender SmartScreen.
Los ataques están diseñados para infectar a las víctimas con el troyano de acceso remoto (RAT) DarkMe para un posible robo de datos y ransomware.
La compañía de seguridad destaca que las vulnerabilidades de día cero descubiertas por grupos de ciberdelincuentes se despliegan cada vez más en las cadenas de ataque de grupos de estados-nación como APT28, APT29 y APT40, ampliando su alcance.