Зловреден софтуер DarkMe
Наскоро разкрита уязвимост в сигурността на Microsoft Defender SmartScreen е използвана като експлойт за нулев ден от усъвършенствана група за постоянни заплахи, известна като Water Hydra, идентифицирана също като DarkCasino. Основните цели на тази атака са лица, участващи в търговията на финансовия пазар. Изследователите откриха тази злонамерена кампания през декември 2023 г.
Нападателите се възползват от CVE-2024-21412, уязвимост за заобикаляне на сигурността, свързана с Internet Shortcut Files (.URL). В последователността на атаката заплахата използва CVE-2024-21412, за да заобиколи Microsoft Defender SmartScreen и да въведе зловреден софтуер DarkMe, за да зарази нищо неподозиращите жертви.
Оттогава Microsoft се справи с тази уязвимост в актуализацията си за февруарски корекции във вторник. Според компанията неупълномощен хакер може да се възползва от пропуска, като изпрати специално създаден файл на целевия потребител, което му позволява да заобиколи проверките за сигурност. Успехът на експлоатацията обаче зависи от това, че заплахата ще убеди жертвата да щракне върху връзката към файла и да види съдържанието, контролирано от нападателя.
Зловреден софтуер DarkMe се внедрява чрез многоетапна верига от атаки
DarkMe проявява способността не само да изтегля и изпълнява допълнителни инструкции, но и да се регистрира в Command-and-Control (C2) сървър и да събира информация от компрометираната система.
По време на наблюдавания процес на заразяване експлойтът на CVE-2024-21412 се използва за внедряване на вреден инсталационен файл („7z.msi“). Това се постига чрез примамване на жертвите да кликнат върху миниран URL адрес („fxbulls.ru“), който се разпространява чрез форуми за валутна търговия. Примамката се представя под прикритието на споделяне на връзка към изображение на борсова диаграма. Въпреки това, действителното съдържание на връзката е файл с пряк достъп до интернет („photo_2023-12-29.jpg.url“).
Целевата страница на „fxbulls.ru“ съдържа връзка, водеща до заплашително споделяне в WebDAV с внимателно изработен филтриран изглед. Когато потребителите кликнат върху тази връзка, браузърът ги подканва да я отворят в Windows Explorer. Трябва да се отбележи, че това не задейства подкана за сигурност, което потенциално кара потребителя да пренебрегне опасния характер на връзката.
Забележителен аспект на тази схема е използването от страна на заплахата на протокола на приложението за търсене, който обикновено се използва за извикване на приложението за търсене на работния плот в Windows. Този протокол е бил злоупотребяван в миналото за доставяне на зловреден софтуер. Умелото манипулиране на този протокол от актьора добавя допълнителен слой измама към процеса на заразяване.
Групите APT (Advanced Persistent Threat) често експлоатират уязвимости от нулевия ден
Този отличителен подход към реферирането, използван във веригата за заразяване на DarkMe, възниква от използването на пряк път в друг пряк път, което се оказа ефективно за заобикаляне на SmartScreen. В този случай SmartScreen не успява да приложи правилно Mark of the Web (MotW), важен компонент на Windows, предназначен да предупреждава потребителите при отваряне или стартиране на файлове от ненадеждни източници.
Крайната цел на тази кампания е тайно да достави във фонов режим троянски кон Visual Basic, известен като DarkMe. Едновременно с това кампанията поддържа измамна фасада, като показва на жертвата борсова графика, прикривайки истинската природа на веригата за експлоатация и заразяване.
Заслужава да се отбележи, че новооткритите уязвимости на нулевия ден, често идентифицирани от групи за киберпрестъпления, могат да намерят своя път в арсеналите на хакерските групи от национални държави. Тези сложни нападатели, като Water Hydra, притежават техническата експертиза и инструментите, необходими за разкриване и използване на уязвимостите от нулевия ден в напреднали кампании. Това им позволява да разположат силно разрушителен злонамерен софтуер като DarkMe, демонстрирайки способността си да изпълняват сложни и мощни атаки.
