DarkMe Malware

Kerentanan keselamatan yang didedahkan baru-baru ini dalam Microsoft Defender SmartScreen telah digunakan sebagai eksploitasi sifar hari oleh kumpulan ancaman berterusan maju yang dikenali sebagai Water Hydra, juga dikenal pasti sebagai DarkCasino. Sasaran utama serangan ini adalah individu yang terlibat dalam perdagangan pasaran kewangan. Para penyelidik menemui kempen berniat jahat ini pada Disember 2023.

Penyerang mengambil kesempatan daripada CVE-2024-21412, kerentanan pintasan keselamatan yang dikaitkan dengan Fail Pintasan Internet (.URL). Dalam urutan serangan, aktor ancaman menggunakan CVE-2024-21412 untuk memintas Microsoft Defender SmartScreen dan memperkenalkan perisian hasad DarkMe untuk menjangkiti mangsa yang tidak curiga.

Microsoft sejak itu telah menangani kelemahan ini dalam kemas kini Februari Patch Tuesday. Menurut syarikat itu, penggodam yang tidak disahkan boleh mengambil kesempatan daripada kecacatan itu dengan menghantar fail yang direka khas kepada pengguna yang disasarkan, membolehkan mereka memintas pemeriksaan keselamatan. Bagaimanapun, kejayaan eksploitasi itu bergantung kepada pelakon ancaman yang meyakinkan mangsa untuk mengklik pada pautan fail dan melihat kandungan yang dikawal oleh penyerang.

Malware DarkMe Digunakan melalui Rantaian Serangan Berbilang peringkat

DarkMe mempamerkan keupayaan bukan sahaja untuk memuat turun dan melaksanakan arahan tambahan tetapi juga untuk mendaftarkan dirinya dengan pelayan Command-and-Control (C2) dan mengumpul maklumat daripada sistem yang terjejas.

Semasa proses jangkitan yang diperhatikan, eksploitasi CVE-2024-21412 digunakan untuk menggunakan fail pemasang berbahaya ('7z.msi'). Ini dicapai dengan menarik mangsa untuk mengklik pada URL yang terperangkap samar ('fxbulls.ru'), yang disebarkan melalui forum dagangan forex. Gewang dipersembahkan di bawah samaran berkongsi pautan ke imej carta saham. Walau bagaimanapun, kandungan sebenar pautan ialah fail pintasan internet ('photo_2023-12-29.jpg.url').

Halaman pendaratan di 'fxbulls.ru' menampilkan pautan yang membawa kepada perkongsian WebDAV yang mengancam dengan paparan ditapis yang dibuat dengan teliti. Apabila pengguna mengklik pada pautan ini, penyemak imbas menggesa mereka untuk membukanya dalam Windows Explorer. Terutama, ini tidak mencetuskan gesaan keselamatan, yang berpotensi membawa pengguna untuk mengabaikan sifat pautan yang tidak selamat.

Aspek yang perlu diberi perhatian dalam skim ini ialah eksploitasi pelakon ancaman terhadap protokol aplikasi carian, yang biasa digunakan untuk memanggil aplikasi carian desktop pada Windows. Protokol ini telah disalahgunakan pada masa lalu untuk menghantar perisian hasad. Manipulasi bijak pelakon terhadap protokol ini menambah lapisan penipuan tambahan kepada proses jangkitan.

Kumpulan APT (Advanced Persistent Threat) Selalunya Mengeksploitasi Kerentanan Sifar Hari

Pendekatan tersendiri untuk rujukan yang digunakan dalam rantaian jangkitan DarkMe ini timbul daripada penggunaan pintasan dalam pintasan lain, yang telah terbukti berkesan dalam memintas SmartScreen. Dalam keadaan ini, SmartScreen gagal menggunakan Mark of the Web (MotW) dengan sewajarnya, komponen Windows penting yang direka untuk memberi amaran kepada pengguna apabila membuka atau menjalankan fail daripada sumber yang tidak dipercayai.

Objektif utama kempen ini adalah untuk menyampaikan secara rahsia Visual Basic Trojan yang dikenali sebagai DarkMe di latar belakang. Pada masa yang sama, kempen mengekalkan fasad yang menipu dengan memaparkan graf stok kepada mangsa, menyembunyikan sifat sebenar rantaian eksploitasi dan jangkitan.

Perlu diperhatikan bahawa kelemahan sifar hari yang baru ditemui, sering dikenal pasti oleh kumpulan jenayah siber, boleh mencari jalan mereka ke dalam senjata kumpulan penggodaman negara bangsa. Penyerang canggih ini, seperti Water Hydra, memiliki kepakaran teknikal dan alatan yang diperlukan untuk mendedahkan dan mengeksploitasi kelemahan sifar hari dalam kempen lanjutan. Ini membolehkan mereka menggunakan perisian hasad yang sangat merosakkan seperti DarkMe, mempamerkan keupayaan mereka untuk melaksanakan serangan yang rumit dan kuat.