DarkMe Malware

פגיעות אבטחה שהתגלתה לאחרונה ב-Microsoft Defender SmartScreen נוצלה כניצול של יום אפס על ידי קבוצת איומים מתמשכת מתקדמת הידועה בשם Water Hydra, שזוהתה גם בשם DarkCasino. היעדים העיקריים של מתקפה זו הם אנשים המעורבים במסחר בשוק הפיננסי. החוקרים גילו את הקמפיין הזדוני הזה בדצמבר 2023.

התוקפים מנצלים את היתרונות של CVE-2024-21412, פגיעות עקיפת אבטחה הקשורה לקבצי קיצורי אינטרנט (.URL). ברצף ההתקפה, שחקן האיום משתמש ב-CVE-2024-21412 כדי לעקוף את Microsoft Defender SmartScreen ולהציג את התוכנה הזדונית DarkMe כדי להדביק קורבנות תמימים.

מיקרוסופט טיפלה מאז בפגיעות זו בעדכון פברואר Patch Tuesday. לטענת החברה, האקר לא מאומת יכול לנצל את הפגם על ידי שליחת קובץ בעל מבנה מיוחד למשתמש הממוקד, מה שיאפשר לו לעקוף את בדיקות האבטחה. עם זאת, הצלחת הניצול מסתמכת על כך ששחקן האיום ישכנע את הקורבן ללחוץ על קישור הקובץ ולצפות בתוכן הנשלט על ידי התוקף.

תוכנת ה-DarkMe Malware נפרסת באמצעות שרשרת תקיפה רב-שלבית

DarkMe מציגה את היכולת לא רק להוריד ולבצע הוראות נוספות אלא גם לרשום את עצמו בשרת Command-and-Control (C2) ולאסוף מידע מהמערכת שנפרצה.

במהלך תהליך ההדבקה שנצפה, הניצול של CVE-2024-21412 מופעל כדי לפרוס קובץ מתקין מזיק ('7z.msi'). זה מושג על ידי פיתוי קורבנות ללחוץ על כתובת URL ממולכדת ('fxbulls.ru'), המופצת באמצעות פורומים למסחר במט"ח. הפיתוי מוצג במסווה של שיתוף קישור לתמונת גרף מניה. עם זאת, התוכן בפועל של הקישור הוא קובץ קיצורי דרך באינטרנט ('photo_2023-12-29.jpg.url').

דף הנחיתה ב-'fxbulls.ru' כולל קישור המוביל לשיתוף WebDAV מאיים עם תצוגה מסוננת מעוצבת בקפידה. כאשר משתמשים לוחצים על קישור זה, הדפדפן מבקש מהם לפתוח אותו בסייר Windows. יש לציין שזה לא מפעיל הנחית אבטחה, מה שעלול להוביל את המשתמש להתעלם מהטבע הלא בטוח של הקישור.

היבט ראוי לציון של תכנית זו הוא הניצול של שחקן האיום בפרוטוקול יישום החיפוש, המשמש בדרך כלל לקריאה ליישום חיפוש שולחן העבודה ב-Windows. בעבר נעשה שימוש לרעה בפרוטוקול זה כדי לספק תוכנות זדוניות. המניפולציה החכמה של השחקן בפרוטוקול זה מוסיפה שכבה נוספת של הטעיה לתהליך ההדבקה.

קבוצות APT (Advanced Persistent Threat) מנצלות לעתים קרובות פגיעויות של אפס יום

גישה ייחודית זו להתייחסות המשמשת בשרשרת ההדבקה ב-DarkMe נובעת מניצול של קיצור דרך בתוך קיצור דרך אחר, אשר הוכח כיעיל בעקיפה של SmartScreen. במקרה זה, SmartScreen לא מצליח ליישם כראוי את סימן האינטרנט (MotW), רכיב חיוני של Windows שנועד להתריע בפני משתמשים בעת פתיחה או הפעלה של קבצים ממקורות לא מהימנים.

המטרה הסופית של מסע פרסום זה היא לספק בחשאי טרויאני Visual Basic הידוע בשם DarkMe ברקע. במקביל, הקמפיין שומר על חזית מטעה על ידי הצגת גרף מלאי לקורבן, המסתיר את הטבע האמיתי של שרשרת הניצול וההדבקה.

ראוי לציין שפגיעויות שהתגלו לאחרונה, המזוהות לעתים קרובות על ידי קבוצות של פשעי סייבר, יכולות למצוא את דרכן לארסנלים של קבוצות פריצה של מדינות לאום. התוקפים המתוחכמים הללו, כמו Water Hydra, בעלי המומחיות הטכנית והכלים הנדרשים כדי לחשוף ולנצל פגיעויות של יום אפס בקמפיינים מתקדמים. זה מאפשר להם לפרוס תוכנות זדוניות הרסניות ביותר כמו DarkMe, מה שמציג את יכולתם לבצע התקפות מורכבות ועוצמתיות.