DarkMe Malware

A Microsoft Defender SmartScreen nemrégiben feltárt biztonsági rését nulladik napi kizsákmányolásként használta a Water Hydra néven ismert, továbbfejlesztett, állandó fenyegetési csoport, amelyet DarkCasinoként is azonosítottak. A támadás elsődleges célpontjai a pénzpiaci kereskedésben részt vevő egyének. A kutatók 2023 decemberében fedezték fel ezt a rosszindulatú kampányt.

A támadók kihasználják a CVE-2024-21412, az Internet Shortcut Files (.URL) biztonsági megkerülő sérülékenységét. A támadási sorozatban a fenyegetőző a CVE-2024-21412-t használja a Microsoft Defender SmartScreen megkerülésére, és a DarkMe rosszindulatú program bevezetésére, hogy megfertőzze a gyanútlan áldozatokat.

A Microsoft azóta a februári javítás keddi frissítésében orvosolta ezt a biztonsági rést. A cég szerint egy nem hitelesített hacker kihasználhatja a hibát, ha egy speciálisan kialakított fájlt küld a megcélzott felhasználónak, így megkerülheti a biztonsági ellenőrzéseket. A kihasználás sikere azonban azon múlik, hogy a fenyegetés szereplője meggyőzi az áldozatot, hogy kattintson a fájl hivatkozására, és tekintse meg a támadó által irányított tartalmat.

A DarkMe Malware többlépcsős támadási láncon keresztül kerül telepítésre

A DarkMe nemcsak további utasítások letöltésére és végrehajtására képes, hanem arra is, hogy regisztrálja magát egy Command-and-Control (C2) kiszolgálón, és információkat gyűjtsön a feltört rendszerről.

A megfigyelt fertőzési folyamat során a CVE-2024-21412 kihasználását egy káros telepítőfájl ('7z.msi') üzembe helyezésére használják. Ezt úgy érik el, hogy ráveszik az áldozatokat, hogy kattintsanak egy csapdába esett URL-re ("fxbulls.ru"), amelyet forex kereskedési fórumokon terjesztenek. A csalit a részvénydiagram képére mutató hivatkozás megosztásának leple alatt mutatják be. A hivatkozás tényleges tartalma azonban egy internetes parancsikonfájl ('photo_2023-12-29.jpg.url').

Az „fxbulls.ru” nyitóoldala egy fenyegető WebDAV-megosztáshoz vezető hivatkozást tartalmaz, gondosan kialakított szűrt nézettel. Amikor a felhasználók erre a hivatkozásra kattintanak, a böngésző felszólítja őket, hogy nyissa meg a Windows Intézőben. Nevezetesen, ez nem vált ki biztonsági felszólítást, ami miatt a felhasználó figyelmen kívül hagyhatja a hivatkozás nem biztonságos természetét.

Ennek a sémának egy figyelemreméltó aspektusa, hogy a fenyegetés szereplői kihasználják a keresőalkalmazás-protokollt, amelyet általában a Windows asztali keresőalkalmazásának meghívására használnak. Ezt a protokollt korábban rosszindulatú programok terjesztésére használták vissza. Az, hogy a színész okosan manipulálja ezt a protokollt, további megtévesztési réteget ad a fertőzési folyamathoz.

Az APT (Advanced Persistent Threat) csoportok gyakran kihasználják a nulladik napi sebezhetőséget

A DarkMe fertőzési láncban használt megkülönböztető megközelítés a hivatkozások egy másik parancsikonon belüli használatából ered, amely hatékonynak bizonyult a SmartScreen megkerülésében. Ebben az esetben a SmartScreen nem alkalmazza megfelelően a Mark of the Web (MotW) elemet, amely egy kulcsfontosságú Windows-összetevő, amelynek célja, hogy figyelmeztesse a felhasználókat, amikor nem megbízható forrásból származó fájlokat nyitnak meg vagy futtatnak.

A kampány végső célja egy DarkMe néven ismert Visual Basic trójai rejtett megjelenítése a háttérben. Ezzel egyidejűleg a kampány megtévesztő homlokzatot tart fenn azáltal, hogy állománygrafikont jelenít meg az áldozat számára, elrejtve a kizsákmányolási és fertőzési lánc valódi természetét.

Figyelemre méltó, hogy az újonnan felfedezett nulladik napi sebezhetőségek, amelyeket gyakran a kiberbűnözői csoportok azonosítanak, bekerülhetnek a nemzetállami hackercsoportok arzenáljába. Ezek a kifinomult támadók, mint például a Water Hydra, rendelkeznek a fejlett kampányok nulladik napi sebezhetőségeinek feltárásához és kihasználásához szükséges technikai szakértelemmel és eszközökkel. Ez lehetővé teszi számukra, hogy olyan rendkívül pusztító kártevőket telepítsenek, mint a DarkMe, megmutatva, hogy képesek bonyolult és erőteljes támadások végrehajtására.