بدافزار DarkMe
یک آسیبپذیری امنیتی اخیراً در Microsoft Defender SmartScreen به عنوان یک سوء استفاده روز صفر توسط یک گروه تهدید دائمی پیشرفته به نام Water Hydra، که با نام DarkCasino نیز شناخته میشود، مورد استفاده قرار گرفته است. اهداف اولیه این حمله افرادی هستند که در معاملات بازار مالی شرکت دارند. محققان این کمپین مخرب را در دسامبر 2023 کشف کردند.
مهاجمان از CVE-2024-21412، یک آسیب پذیری دور زدن امنیتی مرتبط با فایل های میانبر اینترنت (URL) استفاده می کنند. در توالی حمله، عامل تهدید از CVE-2024-21412 برای دور زدن Microsoft Defender SmartScreen و معرفی بدافزار DarkMe برای آلوده کردن قربانیان ناآگاه استفاده میکند.
مایکروسافت از آن زمان این آسیبپذیری را در بهروزرسانی فوریه Patch Tuesday خود برطرف کرده است. به گفته این شرکت، یک هکر احراز هویت نشده می تواند با ارسال یک فایل ساخته شده خاص به کاربر مورد نظر، از این نقص استفاده کند و به آنها اجازه دهد تا بررسی های امنیتی را دور بزنند. با این حال، موفقیت این بهره برداری به عامل تهدید متکی است که قربانی را متقاعد می کند تا روی پیوند فایل کلیک کند و محتوای کنترل شده توسط مهاجم را مشاهده کند.
بدافزار DarkMe از طریق یک زنجیره حمله چند مرحله ای مستقر می شود
DarkMe نه تنها قابلیت دانلود و اجرای دستورالعمل های اضافی را نشان می دهد، بلکه می تواند خود را با یک سرور Command-and-Control (C2) ثبت کند و اطلاعات را از سیستم در معرض خطر جمع آوری کند.
در طول فرآیند آلودگی مشاهده شده، سوء استفاده از CVE-2024-21412 برای استقرار یک فایل نصب کننده مضر ('7z.msi') استفاده می شود. این امر با ترغیب قربانیان به کلیک بر روی یک URL به دام افتاده ('fxbulls.ru')، که از طریق انجمن های معاملات فارکس منتشر می شود، به دست می آید. فریب تحت عنوان به اشتراک گذاری پیوند به یک تصویر نمودار سهام ارائه می شود. با این حال، محتوای واقعی پیوند یک فایل میانبر اینترنتی است ('photo_2023-12-29.jpg.url').
صفحه فرود در 'fxbulls.ru' دارای پیوندی است که منجر به اشتراک گذاری تهدیدآمیز WebDAV با نمای فیلتر شده با دقت طراحی شده است. وقتی کاربران روی این لینک کلیک می کنند، مرورگر از آنها می خواهد که آن را در Windows Explorer باز کنند. قابل ذکر است، این یک اعلان امنیتی ایجاد نمی کند، و به طور بالقوه باعث می شود کاربر ماهیت ناامن پیوند را نادیده بگیرد.
یکی از جنبه های قابل توجه این طرح، سوء استفاده عامل تهدید از پروتکل برنامه جستجو است که معمولاً برای فراخوانی برنامه جستجوی دسکتاپ در ویندوز استفاده می شود. این پروتکل در گذشته برای ارائه بدافزار مورد سوء استفاده قرار گرفته است. دستکاری هوشمندانه بازیگر در این پروتکل، یک لایه فریب اضافی به روند عفونت اضافه می کند.
گروههای APT (تهدید مداوم پیشرفته) اغلب از آسیبپذیریهای روز صفر سوء استفاده میکنند.
این رویکرد متمایز برای ارجاع مورد استفاده در زنجیره عفونت DarkMe از استفاده از یک میانبر در میانبر دیگر ناشی می شود که در دور زدن SmartScreen موثر ثابت شده است. در این مثال، SmartScreen نمی تواند به درستی Mark of the Web (MotW) را اعمال کند، یک مؤلفه حیاتی ویندوز که برای هشدار دادن به کاربران هنگام باز کردن یا اجرای فایل ها از منابع نامعتبر طراحی شده است.
هدف نهایی این کمپین ارائه مخفیانه یک تروجان ویژوال بیسیک معروف به DarkMe در پس زمینه است. به طور همزمان، این کمپین با نمایش یک نمودار سهام به قربانی، نمای فریبنده ای را حفظ می کند و ماهیت واقعی زنجیره استثمار و عفونت را پنهان می کند.
قابل توجه است که آسیبپذیریهای روز صفر تازه کشفشده، که اغلب توسط گروههای جرایم سایبری شناسایی میشوند، میتوانند راه خود را به زرادخانههای گروههای هک دولت-ملت پیدا کنند. این مهاجمان پیچیده، مانند Water Hydra، دارای تخصص فنی و ابزارهای مورد نیاز برای کشف و سوء استفاده از آسیبپذیریهای روز صفر در کمپینهای پیشرفته هستند. این به آنها امکان می دهد تا بدافزارهای بسیار مخربی مانند DarkMe را مستقر کنند و توانایی خود را برای اجرای حملات پیچیده و قدرتمند نشان دهند.
