DarkMe Malware

En nylig afsløret sikkerhedssårbarhed i Microsoft Defender SmartScreen er blevet brugt som en nul-dages udnyttelse af en avanceret vedvarende trusselgruppe kendt som Water Hydra, også identificeret som DarkCasino. De primære mål for dette angreb er personer involveret i handel med finansielle markeder. Forskerne opdagede denne ondsindede kampagne i december 2023.

Angriberne drager fordel af CVE-2024-21412, en sikkerhedsomgåelsessårbarhed forbundet med internetgenvejsfiler (.URL). I angrebssekvensen bruger trusselsaktøren CVE-2024-21412 til at omgå Microsoft Defender SmartScreen og introducere DarkMe-malwaren for at inficere intetanende ofre.

Microsoft har siden rettet denne sårbarhed i sin februar Patch Tuesday-opdatering. Ifølge virksomheden kunne en uautoriseret hacker drage fordel af fejlen ved at sende en specialudformet fil til den målrettede bruger, så de kan omgå sikkerhedstjek. Succesen med udnyttelsen afhænger dog af, at trusselsaktøren overbeviser offeret til at klikke på fillinket og se indholdet kontrolleret af angriberen.

DarkMe Malware er implementeret via en flertrins angrebskæde

DarkMe udviser evnen til ikke kun at downloade og udføre yderligere instruktioner, men også til at registrere sig selv med en Command-and-Control-server (C2) og indsamle oplysninger fra det kompromitterede system.

Under den observerede infektionsproces bliver udnyttelsen af CVE-2024-21412 brugt til at implementere en skadelig installationsfil ('7z.msi'). Dette opnås ved at lokke ofre til at klikke på en booby-fanget URL ('fxbulls.ru'), som formidles gennem forex trading fora. Lokken præsenteres under dække af at dele et link til et aktiediagrambillede. Det faktiske indhold af linket er dog en internetgenvejsfil ('photo_2023-12-29.jpg.url').

Landingssiden på 'fxbulls.ru' har et link, der fører til en truende WebDAV-share med en omhyggeligt udformet filtreret visning. Når brugere klikker på dette link, beder browseren dem om at åbne det i Windows Stifinder. Navnlig udløser dette ikke en sikkerhedsprompt, hvilket potentielt får brugeren til at overse linkets usikre natur.

Et bemærkelsesværdigt aspekt af denne ordning er trusselsaktørens udnyttelse af søgeapplikationsprotokollen, der almindeligvis bruges til at kalde desktopsøgeapplikationen på Windows. Denne protokol er tidligere blevet misbrugt til at levere malware. Skuespillerens smarte manipulation af denne protokol tilføjer et ekstra lag af bedrag til infektionsprocessen.

APT-grupper (Advanced Persistent Threat) udnytter ofte Zero-Day-sårbarheder

Denne karakteristiske tilgang til referencer, der bruges i DarkMe-infektionskæden, stammer fra brugen af en genvej inden for en anden genvej, som har vist sig effektiv til at omgå SmartScreen. I dette tilfælde formår SmartScreen ikke at anvende Mark of the Web (MotW), en vigtig Windows-komponent, der er designet til at advare brugere, når de åbner eller kører filer fra upålidelige kilder.

Det ultimative mål med denne kampagne er i det skjulte at levere en Visual Basic Trojan kendt som DarkMe i baggrunden. Samtidig opretholder kampagnen en vildledende facade ved at vise en aktiegraf til offeret, der skjuler den sande natur af udnyttelses- og infektionskæden.

Det er bemærkelsesværdigt, at nyligt opdagede zero-day-sårbarheder, ofte identificeret af cyberkriminalitetsgrupper, kan finde vej ind i arsenalerne af nationalstatslige hackergrupper. Disse sofistikerede angribere, såsom Water Hydra, besidder den tekniske ekspertise og værktøjer, der kræves til at afdække og udnytte nul-dages sårbarheder i avancerede kampagner. Dette sætter dem i stand til at implementere meget destruktiv malware som DarkMe, hvilket viser deres evne til at udføre indviklede og potente angreb.