El 13 de febrero, hora local, Microsoft publicó información sobre CVE-2024-21412, una vulnerabilidad de día cero en Windows.

La vulnerabilidad fue comunicada a Microsoft por ZDI, la comunidad de descubrimiento de vulnerabilidades de día cero de Trend Micro, y ya se ha confirmado que ha sido explotada por un grupo de ataque dirigido llamado Water Hydra (también conocido como DarkCasino). Además, el mismo tipo de vulnerabilidad se ha explotado repetidamente en ataques y es muy probable que muchos ciberdelincuentes ataquen la vulnerabilidad tras su divulgación. Por este motivo, se recomienda aplicar una solución lo antes posible.

¿Qué es CVE-2024-21412? CVE-2024-21412 es una vulnerabilidad de día cero en Windows. Los archivos de acceso directo a Internet (.url) pueden ser explotados por un atacante para infectar malware arbitrario.

Alcance del impacto: están afectados todos los dispositivos Windows que aún no hayan aplicado la corrección publicada por Microsoft el 13 de febrero de 2024.

¿Se ha explotado la CVE-2024-21412? En diciembre de 2023, observamos que CVE-2024-21412 estaba siendo explotada por el grupo de ataque dirigido Water Hydra (también conocido como DarkCasino); desde el 25 de enero de 2024, también hemos observado un intento de explotar esta vulnerabilidad por parte del grupo de ataque DarkGate. Hemos observado que, desde el 25 de enero de 2024, un grupo de ataque llamado DarkGate ha intentado explotar esta vulnerabilidad.

Water Hydra (también conocido como DarkCasino) es un grupo de ataque dirigido que ha estado activo desde aproximadamente 2021, dirigido principalmente a intereses financieros. Hemos observado campañas de ataques por correo electrónico falso (spear-phishing) dirigidas a organizaciones y personas específicas contra bancos, plataformas de criptoactivos y de comercio de divisas, sitios web de juegos de azar y casinos.