DarkMe Malware

Nedavno otkrivena sigurnosna ranjivost u Microsoft Defender SmartScreen iskorištena je kao zero-day exploit od strane napredne stalne prijetnje grupe poznate kao Water Hydra, također identificirane kao DarkCasino. Primarne mete ovog napada su pojedinci uključeni u trgovanje na financijskim tržištima. Istraživači su otkrili ovu zlonamjernu kampanju u prosincu 2023.

Napadači iskorištavaju CVE-2024-21412, sigurnosnu ranjivost zaobilaženja povezanu s datotekama internetskih prečaca (.URL). U sekvenci napada akter prijetnje koristi CVE-2024-21412 kako bi zaobišao Microsoft Defender SmartScreen i uveo zlonamjerni softver DarkMe kako bi zarazio žrtve koje ništa ne sumnjaju.

Microsoft je od tada riješio ovu ranjivost u svom ažuriranju zakrpe za veljaču u utorak. Prema tvrtki, neautentificirani haker mogao bi iskoristiti grešku slanjem posebno izrađene datoteke ciljanom korisniku, dopuštajući im da zaobiđu sigurnosne provjere. Međutim, uspjeh iskorištavanja ovisi o tome da akter prijetnje uvjeri žrtvu da klikne na poveznicu datoteke i pogleda sadržaj koji kontrolira napadač.

Zlonamjerni softver DarkMe postavlja se putem lanca napada u više faza

DarkMe pokazuje sposobnost ne samo za preuzimanje i izvršavanje dodatnih instrukcija, već i za registraciju na Command-and-Control (C2) serveru i prikupljanje informacija iz kompromitiranog sustava.

Tijekom opaženog procesa zaraze, iskorištavanje CVE-2024-21412 koristi se za postavljanje štetne instalacijske datoteke ('7z.msi'). To se postiže navođenjem žrtava da kliknu na URL ('fxbulls.ru'), koji se širi putem foruma za trgovanje na forexu. Mamac je predstavljen pod krinkom dijeljenja veze na sliku grafikona dionica. Međutim, stvarni sadržaj veze je datoteka internetskog prečaca ('photo_2023-12-29.jpg.url').

Odredišna stranica na 'fxbulls.ru' sadrži poveznicu koja vodi do prijetećeg WebDAV dijeljenja s pažljivo izrađenim filtriranim prikazom. Kada korisnici kliknu na ovu poveznicu, preglednik ih traži da je otvore u Windows Exploreru. Značajno je da to ne pokreće sigurnosni upit, što potencijalno navodi korisnika da previdi nesigurnu prirodu veze.

Značajan aspekt ove sheme je iskorištavanje protokola aplikacije za pretraživanje od strane aktera prijetnje, koji se obično koristi za pozivanje aplikacije za pretraživanje radne površine u sustavu Windows. Ovaj je protokol u prošlosti zlouporabljavan za isporuku zlonamjernog softvera. Glumčevo pametno manipuliranje ovim protokolom dodaje dodatni sloj prijevare procesu infekcije.

APT (Advanced Persistent Threat) grupe često iskorištavaju Zero-Day ranjivosti

Ovaj osebujni pristup referenciranju koji se koristi u lancu infekcije DarkMe proizlazi iz korištenja prečaca unutar drugog prečaca, što se pokazalo učinkovitim u zaobilaženju SmartScreena. U ovom slučaju, SmartScreen ne uspijeva na odgovarajući način primijeniti Oznaku weba (MotW), ključnu komponentu sustava Windows dizajniranu za upozorenje korisnicima prilikom otvaranja ili pokretanja datoteka iz nepouzdanih izvora.

Krajnji cilj ove kampanje je potajno isporučiti trojanca Visual Basic poznatog kao DarkMe u pozadini. Istovremeno, kampanja održava varljivu fasadu prikazujući žrtvi burzovni grafikon, prikrivajući pravu prirodu iskorištavanja i lanca infekcije.

Važno je napomenuti da novootkrivene ranjivosti nultog dana, koje često identificiraju skupine kibernetičkog kriminala, mogu pronaći svoj put u arsenale hakerskih skupina nacionalnih država. Ovi sofisticirani napadači, kao što je Water Hydra, posjeduju tehničku stručnost i alate potrebne za otkrivanje i iskorištavanje ranjivosti nultog dana u naprednim kampanjama. To im omogućuje implementaciju vrlo destruktivnog zlonamjernog softvera kao što je DarkMe, pokazujući njihovu sposobnost izvođenja zamršenih i snažnih napada.