DarkMe-malware

Een onlangs onthuld beveiligingsprobleem in Microsoft Defender SmartScreen is gebruikt als een zero-day exploit door een geavanceerde, aanhoudende dreigingsgroep die bekend staat als Water Hydra, ook wel bekend als DarkCasino. De primaire doelwitten van deze aanval zijn personen die betrokken zijn bij de handel op de financiële markten. De onderzoekers ontdekten deze kwaadaardige campagne in december 2023.

De aanvallers maken misbruik van CVE-2024-21412, een beveiligingslek dat verband houdt met internetsnelkoppelingsbestanden (.URL). Tijdens de aanvalsreeks gebruikt de bedreigingsacteur CVE-2024-21412 om Microsoft Defender SmartScreen te omzeilen en de DarkMe-malware te introduceren om nietsvermoedende slachtoffers te infecteren.

Microsoft heeft dit beveiligingslek sindsdien verholpen in de Patch Tuesday-update van februari. Volgens het bedrijf zou een niet-geverifieerde hacker misbruik kunnen maken van de fout door een speciaal vervaardigd bestand naar de beoogde gebruiker te sturen, waardoor deze de beveiligingscontroles kan omzeilen. Het succes van de uitbuiting hangt echter af van de mate waarin de bedreigingsacteur het slachtoffer ervan overtuigt om op de bestandslink te klikken en de inhoud te bekijken die door de aanvaller wordt beheerd.

De DarkMe-malware wordt ingezet via een meerfasige aanvalsketen

DarkMe biedt niet alleen de mogelijkheid om aanvullende instructies te downloaden en uit te voeren, maar ook om zichzelf te registreren bij een Command-and-Control (C2)-server en informatie te verzamelen van het aangetaste systeem.

Tijdens het waargenomen infectieproces wordt misbruik gemaakt van CVE-2024-21412 om een schadelijk installatiebestand ('7z.msi') te implementeren. Dit wordt bereikt door slachtoffers te verleiden om op een boobytrap-URL ('fxbulls.ru') te klikken, die wordt verspreid via forex-handelsforums. Het kunstaas wordt gepresenteerd onder het mom van het delen van een link naar een afbeelding van een aandelengrafiek. De feitelijke inhoud van de link is echter een internetsnelkoppelingsbestand ('photo_2023-12-29.jpg.url').

De landingspagina op 'fxbulls.ru' bevat een link die leidt naar een bedreigende WebDAV-share met een zorgvuldig vervaardigde gefilterde weergave. Wanneer gebruikers op deze link klikken, vraagt de browser hen deze in Windows Verkenner te openen. Dit veroorzaakt met name geen beveiligingsvraag, waardoor de gebruiker mogelijk de onveilige aard van de link over het hoofd ziet.

Een opmerkelijk aspect van dit plan is de uitbuiting door de bedreigingsacteur van het zoekprogrammaprotocol, dat gewoonlijk wordt gebruikt voor het aanroepen van de desktopzoekprogramma op Windows. Dit protocol is in het verleden misbruikt om malware te verspreiden. De slimme manipulatie van dit protocol door de acteur voegt een extra laag van misleiding toe aan het infectieproces.

APT-groepen (Advanced Persistent Threat) maken vaak misbruik van zero-day-kwetsbaarheden

Deze onderscheidende benadering van verwijzingen die wordt gebruikt in de DarkMe-infectieketen komt voort uit het gebruik van een snelkoppeling binnen een andere snelkoppeling, die effectief is gebleken bij het omzeilen van SmartScreen. In dit geval slaagt SmartScreen er niet in om de Mark of the Web (MotW) op de juiste manier toe te passen, een cruciale Windows-component die is ontworpen om gebruikers te waarschuwen bij het openen of uitvoeren van bestanden van niet-vertrouwde bronnen.

Het uiteindelijke doel van deze campagne is om heimelijk een Visual Basic Trojan bekend als DarkMe op de achtergrond af te leveren. Tegelijkertijd houdt de campagne een misleidende façade in stand door het slachtoffer een aandelengrafiek te laten zien, die de ware aard van de uitbuitings- en infectieketen verbergt.

Het is opmerkelijk dat nieuw ontdekte zero-day-kwetsbaarheden, vaak geïdentificeerd door cybercriminaliteitsgroepen, hun weg kunnen vinden naar de arsenalen van nationale hackgroepen. Deze geavanceerde aanvallers, zoals Water Hydra, beschikken over de technische expertise en tools die nodig zijn om zero-day-kwetsbaarheden in geavanceerde campagnes te ontdekken en te exploiteren. Dit stelt hen in staat zeer destructieve malware zoals DarkMe in te zetten, wat hun vermogen om ingewikkelde en krachtige aanvallen uit te voeren aantoont.