DarkMe मालवेयर

माइक्रोसफ्ट डिफेन्डर स्मार्टस्क्रिनमा भर्खरै खुलासा गरिएको सुरक्षा कमजोरीलाई वाटर हाइड्रा भनेर चिनिने उन्नत निरन्तर खतरा समूहद्वारा शून्य-दिनको शोषणको रूपमा प्रयोग गरिएको छ, जसलाई डार्क क्यासिनो पनि भनिन्छ। यस आक्रमणको प्राथमिक लक्ष्य वित्तीय बजार व्यापारमा संलग्न व्यक्तिहरू हुन्। अनुसन्धानकर्ताहरूले डिसेम्बर 2023 मा यो दुर्भावनापूर्ण अभियान पत्ता लगाए।

आक्रमणकारीहरूले CVE-2024-21412 को फाइदा उठाइरहेका छन्, इन्टरनेट सर्टकट फाइलहरू (.URL) सँग सम्बन्धित सुरक्षा बाइपास जोखिम। आक्रमणको अनुक्रममा, खतरा अभिनेताले माइक्रोसफ्ट डिफेन्डर स्मार्टस्क्रिनलाई रोक्न CVE-2024-21412 प्रयोग गर्दछ र शंकास्पद पीडितहरूलाई संक्रमित गर्न DarkMe मालवेयर प्रस्तुत गर्दछ।

माइक्रोसफ्टले आफ्नो फेब्रुअरी प्याच मंगलबार अपडेटमा यस जोखिमलाई सम्बोधन गरेको छ। कम्पनीका अनुसार, एक अप्रमाणित ह्याकरले विशेष रूपमा क्राफ्ट गरिएको फाइल लक्षित प्रयोगकर्तालाई पठाएर त्रुटिको फाइदा उठाउन सक्छ, उनीहरूलाई सुरक्षा जाँचहरू बाइपास गर्न अनुमति दिन्छ। यद्यपि, शोषणको सफलताले पीडितलाई फाइल लिङ्कमा क्लिक गर्न र आक्रमणकारीद्वारा नियन्त्रित सामग्री हेर्नको लागि धम्की दिने अभिनेतामा निर्भर गर्दछ।

DarkMe मालवेयर बहु-चरण आक्रमण श्रृंखला मार्फत तैनात गरिएको छ

DarkMe ले अतिरिक्त निर्देशनहरू डाउनलोड गर्न र कार्यान्वयन गर्न मात्र होइन तर कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा दर्ता गर्न र सम्झौता प्रणालीबाट जानकारी सङ्कलन गर्ने क्षमता प्रदर्शन गर्दछ।

अवलोकन गरिएको संक्रमण प्रक्रियाको क्रममा, CVE-2024-21412 को शोषण हानिकारक स्थापनाकर्ता फाइल ('7z.msi') डिप्लोय गर्न प्रयोग गरिन्छ। यो एक बूबी-ट्रप URL ('fxbulls.ru') मा क्लिक गर्न पीडितहरूलाई लोभ्याएर प्राप्त हुन्छ, जुन विदेशी मुद्रा व्यापारिक फोरमहरू मार्फत फैलिएको छ। प्रलोभन स्टक चार्ट छविको लिङ्क साझा गर्ने आडमा प्रस्तुत गरिएको छ। यद्यपि, लिङ्कको वास्तविक सामग्री इन्टरनेट सर्टकट फाइल हो ('photo_2023-12-29.jpg.url')।

'fxbulls.ru' मा ल्यान्डिङ पृष्ठले सावधानीपूर्वक तयार गरिएको फिल्टर गरिएको दृश्यको साथ खतरापूर्ण WebDAV साझेदारीको लागि नेतृत्व गर्ने लिङ्कलाई सुविधा दिन्छ। जब प्रयोगकर्ताहरूले यो लिङ्कमा क्लिक गर्छन्, ब्राउजरले तिनीहरूलाई Windows Explorer मा खोल्न प्रोम्प्ट गर्दछ। उल्लेखनीय रूपमा, यसले सुरक्षा प्रम्प्ट ट्रिगर गर्दैन, सम्भावित रूपमा प्रयोगकर्तालाई लिङ्कको असुरक्षित प्रकृतिलाई बेवास्ता गर्न नेतृत्व गर्दछ।

यस योजनाको एक उल्लेखनीय पक्ष भनेको खोजी अनुप्रयोग प्रोटोकलको खतरा अभिनेताको शोषण हो, सामान्यतया Windows मा डेस्कटप खोज अनुप्रयोग कल गर्न प्रयोग गरिन्छ। यो प्रोटोकल विगतमा मालवेयर डेलिभर गर्न दुरुपयोग गरिएको छ। यस प्रोटोकलको अभिनेताको चतुर हेरफेरले संक्रमण प्रक्रियामा छलको थप तह थप्छ।

APT (Advanced Persistent Threat) समूहहरू प्रायः शून्य-दिन जोखिमहरूको शोषण गर्छन्

DarkMe संक्रमण श्रृंखलामा प्रयोग गरिएको सन्दर्भको लागि यो विशिष्ट दृष्टिकोण अर्को सर्टकट भित्रको सर्टकटको उपयोगबाट उत्पन्न हुन्छ, जुन SmartScreen लाई रोक्नमा प्रभावकारी साबित भएको छ। यस उदाहरणमा, SmartScreen ले वेबको मार्क (MotW) लाई उचित रूपमा लागू गर्न असफल हुन्छ, एक महत्त्वपूर्ण Windows कम्पोनेन्ट जसले प्रयोगकर्ताहरूलाई अविश्वसनीय स्रोतहरूबाट फाइलहरू खोल्दा वा चलाउँदा सचेत गराउन डिजाइन गरिएको हो।

यस अभियानको अन्तिम उद्देश्य गोप्य रूपमा पृष्ठभूमिमा DarkMe भनेर चिनिने भिजुअल बेसिक ट्रोजन प्रदान गर्नु हो। साथै, अभियानले शोषण र संक्रमण श्रृंखलाको वास्तविक प्रकृति लुकाएर पीडितलाई स्टक ग्राफ देखाएर भ्रामक अनुहार कायम राख्छ।

यो उल्लेखनीय छ कि भर्खरै पत्ता लगाइएको शून्य-दिन जोखिमहरू, प्राय: साइबर अपराध समूहहरू द्वारा पहिचान गरिएको, राष्ट्र-राज्य ह्याकिङ समूहहरूको शस्त्रागारहरूमा आफ्नो बाटो फेला पार्न सक्छ। यी परिष्कृत आक्रमणकारीहरू, जस्तै वाटर हाइड्रा, उन्नत अभियानहरूमा शून्य-दिन जोखिमहरू उजागर गर्न र शोषण गर्न आवश्यक प्राविधिक विशेषज्ञता र उपकरणहरू छन्। यसले तिनीहरूलाई जटिल र शक्तिशाली आक्रमणहरू कार्यान्वयन गर्ने क्षमता प्रदर्शन गर्दै, DarkMe जस्ता अत्यधिक विनाशकारी मालवेयर तैनात गर्न सक्षम बनाउँछ।