DarkMe-haittaohjelma

Hiljattain paljastettua Microsoft Defender SmartScreenin tietoturvahaavoittuvuutta on käyttänyt nollapäivän hyväksikäyttönä edistynyt jatkuva uhkaryhmä, Water Hydra, joka tunnetaan myös nimellä DarkCasino. Tämän hyökkäyksen ensisijaiset kohteet ovat rahoitusmarkkinoiden kaupankäyntiin osallistuvat henkilöt. Tutkijat löysivät tämän haitallisen kampanjan joulukuussa 2023.

Hyökkääjät käyttävät hyväkseen CVE-2024-21412:ta, Internet Shortcut Files (.URL) -tiedostoihin liittyvää suojauksen ohitushaavoittuvuutta. Hyökkäyssarjassa uhkatekijä käyttää CVE-2024-21412:ta kiertääkseen Microsoft Defender SmartScreenin ja esitelläkseen DarkMe-haittaohjelman, joka saastuttaa hyväuskoisia uhreja.

Microsoft on sittemmin korjannut tämän haavoittuvuuden helmikuun korjaustiistai-päivityksessään. Yrityksen mukaan todentamaton hakkeri voisi hyödyntää virhettä lähettämällä erityisesti muodostetun tiedoston kohteena olevalle käyttäjälle, jolloin hän voi ohittaa turvatarkastukset. Hyödynnyksen onnistuminen riippuu kuitenkin siitä, että uhkatekijä saa uhrin napsauttamaan tiedostolinkkiä ja katsomaan hyökkääjän hallitsemaa sisältöä.

DarkMe-haittaohjelma otetaan käyttöön monivaiheisen hyökkäysketjun kautta

DarkMe pystyy paitsi lataamaan ja suorittamaan lisäohjeita, myös rekisteröitymään Command-and-Control (C2) -palvelimeen ja keräämään tietoja vaarantuneesta järjestelmästä.

Havaitun tartuntaprosessin aikana CVE-2024-21412:n hyväksikäyttöä käytetään haitallisen asennustiedoston ('7z.msi') asentamiseen. Tämä saavutetaan houkuttelemalla uhrit napsauttamaan booby-trapped URL-osoitetta ('fxbulls.ru'), jota levitetään valuuttakaupankäyntifoorumeilla. Viehe esitetään jakamalla linkki osakekaaviokuvaan. Linkin varsinainen sisältö on kuitenkin Internet-pikakuvaketiedosto ('photo_2023-12-29.jpg.url').

"fxbulls.ru" -sivuston aloitussivulla on linkki, joka johtaa uhkaavaan WebDAV-osuuteen, jossa on huolellisesti laadittu suodatettu näkymä. Kun käyttäjät napsauttavat tätä linkkiä, selain kehottaa avaamaan sen Windowsin Resurssienhallinnassa. Erityisesti tämä ei käynnistä suojauskehotetta, mikä saattaa johtaa siihen, että käyttäjä huomaa linkin vaarallisen luonteen.

Huomionarvoinen piirre tässä järjestelmässä on se, että uhkatoimija käyttää hyväkseen hakusovellusprotokollaa, jota käytetään yleisesti kutsuttaessa työpöydän hakusovellusta Windowsissa. Tätä protokollaa on käytetty väärin aiemmin haittaohjelmien toimittamiseen. Näyttelijän näppärä manipulointi tähän protokollaan lisää ylimääräisen petoksen kerroksen tartuntaprosessiin.

APT (Advanced Persistent Threat) -ryhmät käyttävät usein hyväkseen nollapäivän haavoittuvuuksia

Tämä DarkMe-infektioketjussa käytetty erottuva lähestymistapa viittaamiseen johtuu pikakuvakkeen käytöstä toisessa pikakuvakkeessa, mikä on osoittautunut tehokkaaksi SmartScreenin kiertämisessä. Tässä tapauksessa SmartScreen ei ota käyttöön Mark of the Web (MotW) -ominaisuutta, joka on tärkeä Windows-komponentti, joka on suunniteltu varoittamaan käyttäjiä, kun tiedostoja avataan tai suoritetaan epäluotettavista lähteistä.

Tämän kampanjan perimmäisenä tavoitteena on toimittaa taustalle Visual Basic -troijalainen, joka tunnetaan nimellä DarkMe. Samalla kampanja ylläpitää petollista julkisivua näyttämällä uhrille varastokaavion, joka peittää hyväksikäyttö- ja tartuntaketjun todellisen luonteen.

On huomionarvoista, että vasta löydetyt nollapäivän haavoittuvuudet, jotka kyberrikollisryhmät usein tunnistavat, voivat löytää tiensä kansallisvaltioiden hakkerointiryhmien arsenaaleihin. Näillä kehittyneillä hyökkääjillä, kuten Water Hydralla, on tekninen asiantuntemus ja työkalut, joita tarvitaan nollapäivän haavoittuvuuksien paljastamiseen ja hyödyntämiseen edistyneissä kampanjoissa. Tämän ansiosta he voivat ottaa käyttöön erittäin tuhoisia haittaohjelmia, kuten DarkMe, osoittaen kykynsä suorittaa monimutkaisia ja tehokkaita hyökkäyksiä.