DarkMe Malware

Et nylig avslørt sikkerhetssårbarhet i Microsoft Defender SmartScreen har blitt brukt som en nulldagers utnyttelse av en avansert vedvarende trusselgruppe kjent som Water Hydra, også identifisert som DarkCasino. De primære målene for dette angrepet er personer involvert i finansmarkedshandel. Forskerne oppdaget denne ondsinnede kampanjen i desember 2023.

Angriperne drar nytte av CVE-2024-21412, en sikkerhetsomgåelsessårbarhet knyttet til Internet Shortcut Files (.URL). I angrepssekvensen bruker trusselaktøren CVE-2024-21412 for å omgå Microsoft Defender SmartScreen og introdusere DarkMe-malware for å infisere intetanende ofre.

Microsoft har siden adressert dette sikkerhetsproblemet i sin oppdatering for februar Patch Tuesday. Ifølge selskapet kan en uautentisert hacker dra nytte av feilen ved å sende en spesiallaget fil til den målrettede brukeren, slik at de kan omgå sikkerhetskontroller. Suksessen til utnyttelsen er imidlertid avhengig av at trusselaktøren overbeviser offeret til å klikke på fillenken og se innholdet kontrollert av angriperen.

DarkMe Malware distribueres via en flertrinns angrepskjede

DarkMe viser muligheten til ikke bare å laste ned og utføre tilleggsinstruksjoner, men også å registrere seg selv med en Command-and-Control-server (C2) og samle informasjon fra det kompromitterte systemet.

Under den observerte infeksjonsprosessen blir utnyttelsen av CVE-2024-21412 brukt til å distribuere en skadelig installasjonsfil ('7z.msi'). Dette oppnås ved å lokke ofre til å klikke på en booby-fanget URL ('fxbulls.ru'), som spres gjennom valutahandelsfora. Lokken presenteres under dekke av å dele en lenke til et aksjekartbilde. Det faktiske innholdet i lenken er imidlertid en internett-snarveisfil ('photo_2023-12-29.jpg.url').

Landingssiden på 'fxbulls.ru' har en lenke som fører til en truende WebDAV-andel med en nøye utformet filtrert visning. Når brukere klikker på denne koblingen, ber nettleseren dem om å åpne den i Windows Utforsker. Spesielt utløser ikke dette en sikkerhetsforespørsel, noe som potensielt kan føre til at brukeren overser koblingens usikre natur.

Et bemerkelsesverdig aspekt ved denne ordningen er trusselaktørens utnyttelse av søkeapplikasjonsprotokollen, vanligvis brukt for å kalle skrivebordsøkeapplikasjonen på Windows. Denne protokollen har tidligere blitt misbrukt for å levere skadelig programvare. Skuespillerens smarte manipulasjon av denne protokollen legger til et ekstra lag med bedrag til infeksjonsprosessen.

APT-grupper (Advanced Persistent Threat) utnytter ofte Zero-Day-sårbarheter

Denne særegne tilnærmingen til referanser brukt i DarkMe-infeksjonskjeden kommer fra bruken av en snarvei innenfor en annen snarvei, som har vist seg effektiv for å omgå SmartScreen. I dette tilfellet klarer ikke SmartScreen å bruke Mark of the Web (MotW), en viktig Windows-komponent som er utformet for å varsle brukere når de åpner eller kjører filer fra ikke-klarerte kilder.

Det endelige målet med denne kampanjen er å i det skjulte levere en Visual Basic-trojaner kjent som DarkMe i bakgrunnen. Samtidig opprettholder kampanjen en villedende fasade ved å vise en aksjegraf til offeret, som skjuler den sanne naturen til utnyttelses- og infeksjonskjeden.

Det er bemerkelsesverdig at nylig oppdagede nulldagssårbarheter, ofte identifisert av cyberkriminalitetsgrupper, kan finne veien inn i arsenalene til nasjonalstatlige hackergrupper. Disse sofistikerte angriperne, som Water Hydra, besitter den tekniske ekspertisen og verktøyene som kreves for å avdekke og utnytte nulldagssårbarheter i avanserte kampanjer. Dette gjør dem i stand til å distribuere svært destruktiv skadelig programvare som DarkMe, og viser deres evne til å utføre intrikate og potente angrep.