Eine neu entdeckte Sicherheitslücke im Microsoft Defender SmartScreen wurde als Zero-Day von einer fortschrittlichen, hartnäckigen Bedrohungsakteur namens Water Hydra (auch bekannt unter dem Namen DarkCasino) ausgenutzt, der Finanzmarkt-Händler ins Visier nimmt. Die Kampagne begann im Dezember 2023 und wurde von Trend Micro verfolgt. Sie nutzt die Sicherheitslücke CVE-2024-21412 aus, eine Schwachstelle im Zusammenhang mit Internet Shortcut Files (.URL). Laut dem Bericht von Trend Micro nutzt der Angreifer CVE-2024-21412, um Microsoft Defender SmartScreen zu umgehen und Opfer mit der DarkMe-Malware zu infizieren. Microsoft hat die Lücke in seinem Februar-Patch Tuesday Update behoben. Ein nicht authentifizierter Angreifer könnte die Schwachstelle ausnutzen, indem er dem Zielbenutzer eine speziell erstellte Datei als Umgehung der angezeigten Sicherheitsprüfungen sendet. Der Erfolg der Ausnutzung hängt jedoch davon ab, dass der Angreifer das Opfer davon überzeugt, auf den Dateilink zu klicken, um den von ihm kontrollierten Inhalt anzuzeigen. Der Infektionsvorgang, dokumentiert von Trend Micro, nutzt CVE-2024-21412 aus, um eine bösartige Installationsdatei („7z.msi“) abzulegen, indem auf einen manipulierten URL-Link („fxbulls[.]ru“) geklickt wird, der über Forex-Handelsforen verteilt wird und vorgibt, einen Link zu einem Diagramm einer Aktie zu teilen, das in Wirklichkeit eine Internetverknüpfungsdatei („photo_2023-12-29.jpg.url“) ist. Die Schadsoftware DarkMe soll im Hintergrund laufen und gleichzeitig das Stock-Chart-Diagramm anzeigen, um die Tarnung aufrechtzuerhalten. DarkMe kann zusätzliche Anweisungen herunterladen und ausführen und sich bei einem Command-and-Control-Server registrieren. Die Zero-Day-Lücke wurde von der Cybercrime-Gruppe Water Hydra entdeckt und wird von staatlichen Hackerguppen verwendet, um sophisticated Angriffe durchzuführen.