البرامج الضارة DarkMe

تم استغلال الثغرة الأمنية التي تم الكشف عنها مؤخرًا في Microsoft Defender SmartScreen كاستغلال لليوم صفر من قبل مجموعة تهديد مستمرة متقدمة تُعرف باسم Water Hydra، والمعروفة أيضًا باسم DarkCasino. الأهداف الرئيسية لهذا الهجوم هي الأفراد المشاركين في التداول في الأسواق المالية. واكتشف الباحثون هذه الحملة الخبيثة في ديسمبر 2023.

يستغل المهاجمون الثغرة CVE-2024-21412، وهي ثغرة أمنية مرتبطة بملفات اختصار الإنترنت (URL). في تسلسل الهجوم، يستخدم ممثل التهديد CVE-2024-21412 للتحايل على Microsoft Defender SmartScreen وإدخال البرنامج الضار DarkMe لإصابة الضحايا المطمئنين.

وقد عالجت Microsoft منذ ذلك الحين هذه الثغرة الأمنية في تحديث الثلاثاء التصحيح لشهر فبراير. وفقًا للشركة، يمكن للمتسلل غير المصادق عليه الاستفادة من الخلل عن طريق إرسال ملف معد خصيصًا إلى المستخدم المستهدف، مما يسمح له بتجاوز عمليات التحقق الأمني. ومع ذلك، يعتمد نجاح الاستغلال على إقناع جهة التهديد الضحية بالضغط على رابط الملف وعرض المحتوى الذي يتحكم فيه المهاجم.

يتم نشر برنامج DarkMe الضار عبر سلسلة هجوم متعددة المراحل

يعرض DarkMe القدرة ليس فقط على تنزيل وتنفيذ تعليمات إضافية ولكن أيضًا على تسجيل نفسه مع خادم القيادة والتحكم (C2) وجمع المعلومات من النظام المخترق.

أثناء عملية الإصابة المرصودة، يتم استخدام استغلال CVE-2024-21412 لنشر ملف تثبيت ضار ('7z.msi'). ويتم تحقيق ذلك عن طريق إغراء الضحايا بالنقر على عنوان URL مفخخ ('fxbulls.ru')، والذي يتم نشره من خلال منتديات تداول العملات الأجنبية. يتم تقديم الإغراء تحت ستار مشاركة رابط لصورة مخطط الأسهم. ومع ذلك، فإن المحتوى الفعلي للارتباط هو ملف اختصار إنترنت ('photo_2023-12-29.jpg.url').

تحتوي الصفحة المقصودة على "fxbulls.ru" على رابط يؤدي إلى مشاركة WebDAV تهديدية مع عرض تمت تصفيته بعناية. عندما ينقر المستخدمون على هذا الارتباط، يطالبهم المتصفح بفتحه في Windows Explorer. والجدير بالذكر أن هذا لا يؤدي إلى ظهور مطالبة أمنية، مما قد يدفع المستخدم إلى التغاضي عن الطبيعة غير الآمنة للارتباط.

أحد الجوانب الجديرة بالملاحظة في هذا المخطط هو استغلال جهة التهديد لبروتوكول تطبيق البحث، والذي يستخدم عادةً لاستدعاء تطبيق بحث سطح المكتب على نظام التشغيل Windows. لقد تم إساءة استخدام هذا البروتوكول في الماضي لتوصيل البرامج الضارة. يضيف التلاعب الذكي لهذا البروتوكول من قبل الممثل طبقة إضافية من الخداع إلى عملية الإصابة.

غالبًا ما تستغل مجموعات التهديدات المستمرة المتقدمة (APT) الثغرات الأمنية في يوم الصفر

ينشأ هذا الأسلوب المميز في المرجعية المستخدمة في سلسلة عدوى DarkMe من استخدام اختصار ضمن اختصار آخر، والذي أثبت فعاليته في التحايل على SmartScreen. في هذه الحالة، يفشل SmartScreen في تطبيق علامة الويب (MotW) بشكل مناسب، وهو أحد مكونات Windows المهمة المصممة لتنبيه المستخدمين عند فتح أو تشغيل ملفات من مصادر غير موثوقة.

الهدف النهائي لهذه الحملة هو تقديم حصان طروادة Visual Basic المعروف باسم DarkMe خلسة في الخلفية. وفي الوقت نفسه، تحافظ الحملة على واجهة خادعة من خلال عرض رسم بياني للأسهم للضحية، وإخفاء الطبيعة الحقيقية لسلسلة الاستغلال والعدوى.

من الجدير بالذكر أن ثغرات يوم الصفر المكتشفة حديثًا، والتي غالبًا ما تحددها مجموعات الجرائم الإلكترونية، يمكن أن تجد طريقها إلى ترسانات مجموعات القرصنة التابعة للدول القومية. يمتلك هؤلاء المهاجمون المتطورون، مثل Water Hydra، الخبرة الفنية والأدوات اللازمة للكشف عن ثغرات يوم الصفر واستغلالها في الحملات المتقدمة. وهذا يمكّنهم من نشر برامج ضارة شديدة التدمير مثل DarkMe، مما يعرض قدرتهم على تنفيذ هجمات معقدة وقوية.