DarkMe malware

Nedávno odhalená bezpečnostní chyba v Microsoft Defender SmartScreen byla využita jako zero-day exploit skupinou pokročilých perzistentních hrozeb, známá jako Water Hydra, také identifikovaná jako DarkCasino. Primárním cílem tohoto útoku jsou jednotlivci zapojení do obchodování na finančních trzích. Vědci objevili tuto škodlivou kampaň v prosinci 2023.

Útočníci využívají CVE-2024-21412, chybu zabezpečení související se souborem Internet Shortcut Files (.URL). V sekvenci útoku aktér hrozby využívá CVE-2024-21412 k obcházení Microsoft Defender SmartScreen a zavedení malwaru DarkMe k infikování nic netušících obětí.

Společnost Microsoft od té doby tuto chybu zabezpečení vyřešila ve své únorové aktualizaci Patch Tuesday. Podle společnosti by neověřený hacker mohl využít chyby tím, že pošle speciálně vytvořený soubor cílovému uživateli, což mu umožní obejít bezpečnostní kontroly. Úspěch zneužití však závisí na tom, zda aktér hrozby přesvědčí oběť, aby klikla na odkaz na soubor a zobrazila obsah ovládaný útočníkem.

Malware DarkMe je nasazen prostřednictvím vícefázového řetězce útoků

DarkMe prokazuje schopnost nejen stahovat a provádět další instrukce, ale také se registrovat na serveru Command-and-Control (C2) a shromažďovat informace z napadeného systému.

Během pozorovaného procesu infekce je zneužití CVE-2024-21412 použito k nasazení škodlivého instalačního souboru ('7z.msi'). Toho je dosaženo lákáním obětí, aby klikly na nastraženou URL ('fxbulls.ru'), která je šířena prostřednictvím forexových obchodních fór. Návnada je prezentována pod rouškou sdílení odkazu na obrázek burzovního grafu. Skutečným obsahem odkazu je však soubor internetového zástupce ('photo_2023-12-29.jpg.url').

Vstupní stránka na 'fxbulls.ru' obsahuje odkaz vedoucí k hrozivému sdílení WebDAV s pečlivě vytvořeným filtrovaným zobrazením. Když uživatelé kliknou na tento odkaz, prohlížeč je vyzve, aby jej otevřeli v Průzkumníku Windows. Je pozoruhodné, že to nespustí bezpečnostní výzvu, což může uživatele vést k tomu, že přehlédne nebezpečnou povahu odkazu.

Pozoruhodným aspektem tohoto schématu je zneužití protokolu vyhledávací aplikace, který se běžně používá pro volání desktopové vyhledávací aplikace v systému Windows, aktérem hrozby. Tento protokol byl v minulosti zneužit k doručování malwaru. Hercova chytrá manipulace s tímto protokolem přidává do procesu infekce další vrstvu podvodu.

Skupiny APT (Advanced Persistent Threat) často využívají zranitelnosti Zero-Day

Tento osobitý přístup k odkazování používaný v řetězci infekcí DarkMe vychází z použití zkratky v rámci jiné zkratky, která se ukázala jako účinná při obcházení SmartScreen. V tomto případě SmartScreen nedokáže správně použít značku webu (MotW), klíčovou komponentu Windows navrženou k upozornění uživatelů při otevírání nebo spouštění souborů z nedůvěryhodných zdrojů.

Konečným cílem této kampaně je tajně doručit na pozadí trojského koně Visual Basic známého jako DarkMe. Kampaň si zároveň udržuje klamavou fasádu tím, že oběti zobrazuje burzovní graf, který zakrývá skutečnou povahu řetězce vykořisťování a infekce.

Je pozoruhodné, že nově objevená zranitelnost zero-day, často identifikovaná skupinami zabývajícími se kyberzločinem, si mohou najít cestu do arzenálu hackerských skupin národního státu. Tito sofistikovaní útočníci, jako je Water Hydra, mají technické znalosti a nástroje potřebné k odhalení a zneužití zranitelností zero-day v pokročilých kampaních. To jim umožňuje nasadit vysoce destruktivní malware, jako je DarkMe, a předvést tak svou schopnost provádět složité a silné útoky.