Malware DarkMe

Una vulnerabilità di sicurezza recentemente rivelata in Microsoft Defender SmartScreen è stata utilizzata come exploit zero-day da un gruppo di minacce persistenti avanzate noto come Water Hydra, identificato anche come DarkCasino. Gli obiettivi principali di questo attacco sono le persone coinvolte nel trading sui mercati finanziari. I ricercatori hanno scoperto questa campagna dannosa nel dicembre 2023.

Gli aggressori stanno sfruttando CVE-2024-21412, una vulnerabilità di bypass della sicurezza associata ai file di collegamento Internet (.URL). Nella sequenza dell'attacco, l'autore della minaccia utilizza CVE-2024-21412 per aggirare Microsoft Defender SmartScreen e introdurre il malware DarkMe per infettare vittime ignare.

Da allora Microsoft ha risolto questa vulnerabilità nel suo aggiornamento Patch Tuesday di febbraio. Secondo l'azienda, un hacker non autenticato potrebbe trarre vantaggio dalla falla inviando un file appositamente predisposto all'utente preso di mira, consentendogli di aggirare i controlli di sicurezza. Tuttavia, il successo dello sfruttamento dipende dalla capacità dell’autore della minaccia di convincere la vittima a fare clic sul collegamento del file e visualizzare il contenuto controllato dall’aggressore.

Il malware DarkMe viene distribuito tramite una catena di attacco a più fasi

DarkMe mostra la capacità non solo di scaricare ed eseguire istruzioni aggiuntive, ma anche di registrarsi su un server Command-and-Control (C2) e raccogliere informazioni dal sistema compromesso.

Durante il processo di infezione osservato, viene utilizzato l'exploit di CVE-2024-21412 per distribuire un file di installazione dannoso ("7z.msi"). Ciò si ottiene inducendo le vittime a fare clic su un URL con trappole esplosive ("fxbulls.ru"), che viene diffuso attraverso i forum di trading forex. L'esca è presentata con il pretesto di condividere un collegamento a un'immagine del grafico azionario. Tuttavia, il contenuto effettivo del collegamento è un file di collegamento Internet ("photo_2023-12-29.jpg.url").

La pagina di destinazione su "fxbulls.ru" presenta un collegamento che porta a una minacciosa condivisione WebDAV con una visualizzazione filtrata attentamente realizzata. Quando gli utenti fanno clic su questo collegamento, il browser richiede loro di aprirlo in Esplora risorse. In particolare, ciò non attiva una richiesta di sicurezza, portando potenzialmente l'utente a trascurare la natura non sicura del collegamento.

Un aspetto degno di nota di questo schema è lo sfruttamento da parte dell'autore della minaccia del protocollo dell'applicazione di ricerca, comunemente utilizzato per richiamare l'applicazione di ricerca desktop su Windows. Questo protocollo è stato utilizzato in modo improprio in passato per fornire malware. L'abile manipolazione di questo protocollo da parte dell'attore aggiunge un ulteriore livello di inganno al processo di infezione.

I gruppi APT (Advanced Persistent Threat) spesso sfruttano le vulnerabilità zero-day

Questo approccio distintivo al riferimento utilizzato nella catena di infezione di DarkMe deriva dall'utilizzo di un collegamento all'interno di un altro collegamento, che si è rivelato efficace nell'aggirare SmartScreen. In questo caso, SmartScreen non riesce ad applicare in modo appropriato Mark of the Web (MotW), un componente cruciale di Windows progettato per avvisare gli utenti quando aprono o eseguono file da fonti non attendibili.

L'obiettivo finale di questa campagna è fornire di nascosto in background un trojan Visual Basic noto come DarkMe. Allo stesso tempo, la campagna mantiene una facciata ingannevole mostrando alla vittima un grafico azionario, nascondendo la vera natura dello sfruttamento e della catena di infezione.

È interessante notare che le vulnerabilità zero-day appena scoperte, spesso identificate dai gruppi di criminalità informatica, possono finire negli arsenali dei gruppi di hacker nazionali. Questi aggressori sofisticati, come Water Hydra, possiedono le competenze tecniche e gli strumenti necessari per scoprire e sfruttare le vulnerabilità zero-day nelle campagne avanzate. Ciò consente loro di distribuire malware altamente distruttivi come DarkMe, dimostrando la loro capacità di eseguire attacchi complessi e potenti.