DarkMe нацелен на трейдеров с помощью Microsoft SmartScreen Zero-Day

Финансовым трейдерам стоит обратить внимание на вредоносное ПО DarkMe от группы Water Hydra. Он может использовать уязвимость нулевого дня в Microsoft Defender SmartScreen для атаки на ПК. Программное обеспечение MiniTool напоминает вам не нажимать по незнакомым ссылкам по своему желанию и постоянно обновлять вашу систему.

Вредоносное ПО DarkMe использует уязвимость нулевого дня Microsoft SmartScreen для нападения на финансовых трейдеров

Инициатива Trend Micro Zero Day обнаружила уязвимость CVE-2024-21412, отслеживаемую как ZDI-CAN-23100. Trend Micro направила предупреждение в Microsoft. Это вредоносное ПО представляет собой сложную цепочку атак нулевого дня, организованную группой усовершенствованных постоянных угроз (APT), известной как Water Hydra (также известной как DarkCasino), которая нацелена на трейдеров финансового рынка, используя обход Microsoft Defender SmartScreen.

Начиная с конца декабря 2023 года, усилия Trend Micro по мониторингу выявили кампанию группы Water Hydra, использующую аналогичные инструменты, тактики и процедуры (TTP), которые включали использование интернет-ярлыков (.URL) и компонентов WebDAV. Злоумышленник использовал CVE-2024-21412 в рамках этой атаки, чтобы обойти SmartScreen Microsoft Defender и развернуть вредоносное ПО DarkMe на системах жертв.

Что такое APT-группа Water Hydra?

Группа Water Hydra, впервые обнаруженная в 2021 году, быстро завоевала известность благодаря своей ориентации на финансовый сектор, организовав атаки на банки, криптовалютные платформы, платформы для торговли валютой и акциями, игровые сайты и казино по всему миру.

Первоначально деятельность группы приписывалась группе Evilnum APT, поскольку они использовали аналогичные методы фишинга и другие тактики, приемы и процедуры (TTP). Однако в сентябре 2022 года исследователи из NSFOCUS обнаружили инструмент удаленного доступа VisualBasic (RAT), известный как DarkMe, в рамках кампании под названием DarkCasino, специально нацеленной на европейских трейдеров и игровые платформы.

К ноябрю 2023 года, после нескольких последовательных кампаний, в том числе с использованием широко известной уязвимости выполнения кода WinRAR CVE-2023-38831 для нацеленных на биржевых трейдеров, стало ясно, что Water Hydra действует как отдельная группа APT, отдельная от Evilnum.

Дополнительную информацию вы можете найти в этом блоге: CVE-2024-21412: Water Hydra нацелена на трейдеров с помощью Microsoft Defender SmartScreen Zero-Day.

Как защитить свое устройство от вредоносного ПО DarkMe?

Чтобы избежать атак вредоносного ПО DarkMe, вы можете сделать следующее:

Не открывайте незнакомые ссылки

В своем февральском обновлении «Вторник исправлений» Microsoft устранила уязвимость и предупредила, что злоумышленник может ею воспользоваться, отправив тщательно созданный файл предполагаемому получателю, тем самым минуя установленные меры безопасности.

Однако для успеха атаки получатель должен щелкнуть ссылку на файл и получить доступ к содержимому, контролируемому злоумышленником..

Согласно анализу Trend Micro, процесс заражения включает использование CVE-2024-21412 для развертывания вредоносного установочного файла с именем 7z.msi.

Это происходит, когда получатель взаимодействует с вредоносной ссылкой (fxbulls(.)ru), обычно распространяется через форумы по торговле на рынке Форекс.

URL-адрес, замаскированный под ссылку на изображение биржевой диаграммы, на самом деле направляет пользователей на файл ярлыка в Интернете с именем (photo_2023-12-29.jpg.url).

Итак, чтобы защитить ваше устройство от вредоносного ПО DarkMe, вам не следует открывать подозрительные ссылки.

Поддерживайте свою Windows в актуальном состоянии

Microsoft продолжает выпускать обновления для Windows, и эти обновления всегда содержат исправления обнаруженных уязвимостей и обновления для безопасности Windows. Чтобы обеспечить безопасность вашего компьютера, вам следует установить последние обновления Windows, если они доступны.

В Windows 10 вы можете перейти в Пуск > Настройки > Обновление и безопасность для проверки наличия обновлений и установки доступных обновлений.
В Windows 11 вы можете перейти в Пуск > Настройки > Центр обновления Windows для проверки наличия обновлений и установки доступных обновлений.

Кроме того, вы можете включить автоматическое обновление на своем компьютере с Windows.

Используйте антивирусное программное обеспечение

Антивирусное программное обеспечение также необходимо для предотвращения угроз со стороны вредоносного ПО DarkMe, а также других видов вредоносного ПО. Например, вам лучше включить все необходимые функции защиты в безопасности Windows. Кроме того, вы также можете установить стороннее антивирусное программное обеспечение, такое как Bitdefender Antivirus, Norton AntiVirus и McAfee AntiVirus.

Как защитить ваши данные и систему на ПК?

Резервное копирование данных

Вы можете использовать программное обеспечение резервного копирования Windows для резервного копирования файлов и системы на компьютере. В Windows есть встроенные инструменты, такие как «История файлов» и «Восстановление системы», которые помогут вам сделать резервную копию.

Если вы хотите использовать стороннее программное обеспечение для резервного копирования, вы можете попробовать MiniTool ShadowMaker. Эта утилита резервного копирования может создавать резервные копии файлов, папок, разделов, дисков и систем на любом устройстве хранения данных, обнаруженном Windows.

Пробная версия MiniTool ShadowMakerНажмите, чтобы загрузить100% чисто и безопасно

Восстановление данных

Если вы хотите восстановить удаленные или потерянные файлы, вы можете попробовать MiniTool Power Data Recovery. Этот инструмент восстановления данных может восстанавливать файлы с жестких дисков, твердотельных накопителей, USB-накопителей, карт памяти и т. д.

MiniTool Power Data Recovery бесплатноНажмите, чтобы загрузить100% чисто и безопасно