Programari maliciós DarkMe

Una vulnerabilitat de seguretat revelada recentment a Microsoft Defender SmartScreen ha estat utilitzada com a explotació de dia zero per un grup avançat d'amenaces persistents conegut com Water Hydra, també identificat com DarkCasino. Els principals objectius d'aquest atac són les persones implicades en el comerç dels mercats financers. Els investigadors van descobrir aquesta campanya maliciosa el desembre de 2023.

Els atacants estan aprofitant CVE-2024-21412, una vulnerabilitat de bypass de seguretat associada als fitxers de drecera d'Internet (.URL). A la seqüència d'atac, l'actor de l'amenaça utilitza CVE-2024-21412 per eludir Microsoft Defender SmartScreen i introduir el programari maliciós DarkMe per infectar víctimes insospitades.

Des de llavors, Microsoft ha abordat aquesta vulnerabilitat a la seva actualització del dimarts del pegat de febrer. Segons l'empresa, un pirata informàtic no autenticat podria aprofitar-se del defecte enviant un fitxer especialment dissenyat a l'usuari objectiu, cosa que els permetia evitar les comprovacions de seguretat. Tanmateix, l'èxit de l'explotació depèn que l'actor de l'amenaça convenci a la víctima de fer clic a l'enllaç del fitxer i veure el contingut controlat per l'atacant.

El programari maliciós DarkMe es desplega mitjançant una cadena d'atac en diverses etapes

DarkMe mostra la capacitat no només de descarregar i executar instruccions addicionals, sinó també de registrar-se amb un servidor de comandament i control (C2) i recopilar informació del sistema compromès.

Durant el procés d'infecció observat, l'explotació de CVE-2024-21412 s'utilitza per desplegar un fitxer d'instal·lació nociu ('7z.msi'). Això s'aconsegueix atraient les víctimes a fer clic en una URL amb trampes explosives ('fxbulls.ru'), que es difon a través dels fòrums de comerç de divises. L'esquer es presenta sota l'aparença de compartir un enllaç a una imatge de gràfic de valors. Tanmateix, el contingut real de l'enllaç és un fitxer de drecera d'Internet ('photo_2023-12-29.jpg.url').

La pàgina de destinació a 'fxbulls.ru' inclou un enllaç que condueix a una compartició amenaçadora de WebDAV amb una vista filtrada acuradament dissenyada. Quan els usuaris fan clic en aquest enllaç, el navegador els demana que l'obrin a l'Explorador de Windows. Notablement, això no activa una indicació de seguretat, cosa que pot portar a l'usuari a passar per alt la naturalesa insegura de l'enllaç.

Un aspecte destacable d'aquest esquema és l'explotació per part de l'actor d'amenaces del protocol de l'aplicació de cerca, que s'utilitza habitualment per trucar a l'aplicació de cerca d'escriptori a Windows. Aquest protocol s'ha utilitzat malament en el passat per oferir programari maliciós. La manipulació intel·ligent de l'actor d'aquest protocol afegeix una capa addicional d'engany al procés d'infecció.

Els grups APT (amenaça persistent avançada) sovint exploten vulnerabilitats de dia zero

Aquest enfocament distintiu de la referència que s'utilitza a la cadena d'infeccions DarkMe sorgeix de la utilització d'una drecera dins d'una altra drecera, que ha demostrat ser eficaç per eludir SmartScreen. En aquest cas, SmartScreen no aplica adequadament la marca de la web (MotW), un component crucial de Windows dissenyat per alertar els usuaris quan obren o executen fitxers de fonts no fiables.

L'objectiu final d'aquesta campanya és lliurar en segon pla un troià Visual Basic conegut com DarkMe. Simultàniament, la campanya manté una façana enganyosa mostrant un gràfic d'estoc a la víctima, ocultant la veritable naturalesa de la cadena d'explotació i infecció.

Cal destacar que les vulnerabilitats de dia zero recentment descobertes, sovint identificades per grups de ciberdelinqüència, poden trobar el seu camí cap als arsenals dels grups de pirateria de l'estat-nació. Aquests atacants sofisticats, com Water Hydra, tenen l'experiència tècnica i les eines necessàries per descobrir i explotar vulnerabilitats de dia zero en campanyes avançades. Això els permet desplegar programari maliciós altament destructiu com DarkMe, mostrant la seva capacitat per executar atacs complexos i potents.