Κακόβουλο λογισμικό DarkMe

Μια ευπάθεια ασφαλείας που αποκαλύφθηκε πρόσφατα στο Microsoft Defender SmartScreen έχει χρησιμοποιηθεί ως εκμετάλλευση μηδενικής ημέρας από μια προηγμένη ομάδα επίμονων απειλών γνωστή ως Water Hydra, η οποία επίσης προσδιορίζεται ως DarkCasino. Οι πρωταρχικοί στόχοι αυτής της επίθεσης είναι άτομα που εμπλέκονται σε συναλλαγές στις χρηματοπιστωτικές αγορές. Οι ερευνητές ανακάλυψαν αυτήν την κακόβουλη εκστρατεία τον Δεκέμβριο του 2023.

Οι εισβολείς εκμεταλλεύονται το CVE-2024-21412, μια ευπάθεια παράκαμψης ασφαλείας που σχετίζεται με τα αρχεία συντομεύσεων Internet (.URL). Στην ακολουθία επίθεσης, ο παράγοντας απειλής χρησιμοποιεί το CVE-2024-21412 για να παρακάμψει το Microsoft Defender SmartScreen και να εισαγάγει το κακόβουλο λογισμικό DarkMe για να μολύνει ανυποψίαστα θύματα.

Η Microsoft αντιμετώπισε έκτοτε αυτό το θέμα ευπάθειας στην ενημερωμένη έκδοση του Φεβρουαρίου για την Τρίτη. Σύμφωνα με την εταιρεία, ένας μη εξακριβωμένος χάκερ θα μπορούσε να εκμεταλλευτεί το ελάττωμα αποστέλλοντας ένα ειδικά δημιουργημένο αρχείο στον στοχευμένο χρήστη, επιτρέποντάς του να παρακάμψει τους ελέγχους ασφαλείας. Ωστόσο, η επιτυχία της εκμετάλλευσης βασίζεται στο ότι ο παράγοντας απειλής πείθει το θύμα να κάνει κλικ στον σύνδεσμο του αρχείου και να δει το περιεχόμενο που ελέγχεται από τον εισβολέα.

Το κακόβουλο λογισμικό DarkMe αναπτύσσεται μέσω μιας αλυσίδας επιθέσεων πολλαπλών σταδίων

Το DarkMe παρουσιάζει τη δυνατότητα όχι μόνο να κατεβάζει και να εκτελεί πρόσθετες οδηγίες αλλά και να εγγράφεται σε έναν διακομιστή Command-and-Control (C2) και να συλλέγει πληροφορίες από το παραβιασμένο σύστημα.

Κατά τη διάρκεια της παρατηρούμενης διαδικασίας μόλυνσης, η εκμετάλλευση του CVE-2024-21412 χρησιμοποιείται για την ανάπτυξη ενός επιβλαβούς αρχείου εγκατάστασης ('7z.msi'). Αυτό επιτυγχάνεται με την προσέλκυση των θυμάτων να κάνουν κλικ σε μια διεύθυνση URL που έχει παγιδευτεί με παγίδευση ('fxbulls.ru'), η οποία διαδίδεται μέσω φόρουμ συναλλαγών forex. Το δέλεαρ παρουσιάζεται με το πρόσχημα της κοινής χρήσης ενός συνδέσμου σε μια εικόνα γραφήματος μετοχών. Ωστόσο, το πραγματικό περιεχόμενο του συνδέσμου είναι ένα αρχείο συντόμευσης στο διαδίκτυο ('photo_2023-12-29.jpg.url').

Η σελίδα προορισμού στο 'fxbulls.ru' διαθέτει έναν σύνδεσμο που οδηγεί σε ένα απειλητικό κοινόχρηστο στοιχείο WebDAV με μια προσεκτικά σχεδιασμένη φιλτραρισμένη προβολή. Όταν οι χρήστες κάνουν κλικ σε αυτόν τον σύνδεσμο, το πρόγραμμα περιήγησης τους ζητά να τον ανοίξουν στην Εξερεύνηση των Windows. Σημειωτέον, αυτό δεν ενεργοποιεί μια προτροπή ασφαλείας, οδηγώντας ενδεχομένως τον χρήστη να παραβλέψει την επισφαλή φύση του συνδέσμου.

Μια αξιοσημείωτη πτυχή αυτού του σχήματος είναι η εκμετάλλευση του πρωτοκόλλου της εφαρμογής αναζήτησης από τον παράγοντα απειλής, που χρησιμοποιείται συνήθως για την κλήση της εφαρμογής αναζήτησης επιφάνειας εργασίας στα Windows. Αυτό το πρωτόκολλο έχει χρησιμοποιηθεί κατάχρηση στο παρελθόν για την παράδοση κακόβουλου λογισμικού. Ο έξυπνος χειρισμός αυτού του πρωτοκόλλου από τον ηθοποιό προσθέτει ένα επιπλέον στρώμα εξαπάτησης στη διαδικασία μόλυνσης.

Οι ομάδες APT (Advanced Persistent Threat) συχνά εκμεταλλεύονται ευπάθειες μηδενικής ημέρας

Αυτή η ξεχωριστή προσέγγιση στην αναφορά που χρησιμοποιείται στην αλυσίδα μόλυνσης DarkMe προκύπτει από τη χρήση μιας συντόμευσης σε μια άλλη συντόμευση, η οποία έχει αποδειχθεί αποτελεσματική στην παράκαμψη του SmartScreen. Σε αυτήν την περίπτωση, το SmartScreen αποτυγχάνει να εφαρμόσει κατάλληλα το Mark of the Web (MotW), ένα κρίσιμο στοιχείο των Windows που έχει σχεδιαστεί για να ειδοποιεί τους χρήστες όταν ανοίγουν ή εκτελούν αρχεία από μη αξιόπιστες πηγές.

Ο απώτερος στόχος αυτής της καμπάνιας είναι να παραδώσει κρυφά ένα Trojan της Visual Basic γνωστό ως DarkMe στο παρασκήνιο. Ταυτόχρονα, η εκστρατεία διατηρεί μια παραπλανητική πρόσοψη εμφανίζοντας ένα γράφημα αποθέματος στο θύμα, αποκρύπτοντας την πραγματική φύση της αλυσίδας εκμετάλλευσης και μόλυνσης.

Είναι αξιοσημείωτο ότι τα τρωτά σημεία zero-day που ανακαλύφθηκαν πρόσφατα, τα οποία συχνά εντοπίζονται από ομάδες εγκλήματος στον κυβερνοχώρο, μπορούν να βρουν τον δρόμο τους στα οπλοστάσια των ομάδων χάκερ εθνικών κρατών. Αυτοί οι εξελιγμένοι εισβολείς, όπως το Water Hydra, διαθέτουν την τεχνική τεχνογνωσία και τα εργαλεία που απαιτούνται για την αποκάλυψη και την εκμετάλλευση των τρωτών σημείων zero-day σε προηγμένες καμπάνιες. Αυτό τους δίνει τη δυνατότητα να αναπτύξουν εξαιρετικά καταστροφικό κακόβουλο λογισμικό όπως το DarkMe, επιδεικνύοντας την ικανότητά τους να εκτελούν περίπλοκες και ισχυρές επιθέσεις.