Złośliwe oprogramowanie DarkMe

Niedawno ujawniona luka w zabezpieczeniach programu Microsoft Defender SmartScreen została wykorzystana jako exploit dnia zerowego przez zaawansowaną grupę trwałych zagrożeń znaną jako Water Hydra, znaną również jako DarkCasino. Głównymi celami tego ataku są osoby zaangażowane w handel na rynku finansowym. Badacze odkryli tę złośliwą kampanię w grudniu 2023 r.

Osoby atakujące wykorzystują CVE-2024-21412, lukę w zabezpieczeniach związaną z plikami skrótów internetowych (.URL). W sekwencji ataku osoba zagrażająca wykorzystuje kod CVE-2024-21412 w celu obejścia filtru Microsoft Defender SmartScreen i wprowadzenia złośliwego oprogramowania DarkMe w celu infekowania niczego niepodejrzewających ofiar.

Od tego czasu firma Microsoft naprawiła tę lukę w lutowej aktualizacji z wtorku. Według firmy nieuwierzytelniony haker może wykorzystać tę lukę i przesłać wybranemu użytkownikowi specjalnie spreparowany plik, umożliwiając mu ominięcie kontroli bezpieczeństwa. Jednak powodzenie wykorzystania zależy od tego, czy ugrupowanie zagrażające przekona ofiarę do kliknięcia łącza do pliku i wyświetlenia zawartości kontrolowanej przez osobę atakującą.

Złośliwe oprogramowanie DarkMe jest wdrażane poprzez wieloetapowy łańcuch ataków

DarkMe wykazuje zdolność nie tylko do pobierania i wykonywania dodatkowych instrukcji, ale także do rejestrowania się na serwerze dowodzenia i kontroli (C2) i zbierania informacji z zaatakowanego systemu.

Podczas obserwowanego procesu infekcji wykorzystuje się exploit CVE-2024-21412 w celu zainstalowania szkodliwego pliku instalacyjnego („7z.msi”). Osiąga się to poprzez nakłanianie ofiar do kliknięcia adresu URL będącego pułapką („fxbulls.ru”), który jest rozpowszechniany za pośrednictwem forów handlu forex. Przynęta jest prezentowana pod pozorem udostępnienia linku do obrazu wykresu giełdowego. Jednak rzeczywista zawartość linku to plik skrótu internetowego („photo_2023-12-29.jpg.url”).

Strona docelowa witryny „fxbulls.ru” zawiera link prowadzący do groźnego udostępniania WebDAV ze starannie przygotowanym, filtrowanym widokiem. Gdy użytkownicy klikną to łącze, przeglądarka wyświetli monit o otwarcie ich w Eksploratorze Windows. Warto zauważyć, że nie powoduje to wyświetlenia monitu dotyczącego zabezpieczeń, co może prowadzić do przeoczenia przez użytkownika niebezpiecznego charakteru łącza.

Godnym uwagi aspektem tego schematu jest wykorzystanie przez ugrupowanie zagrażające protokołu aplikacji wyszukującej, powszechnie używanej do wywoływania aplikacji wyszukującej na komputerze w systemie Windows. Protokół ten był w przeszłości niewłaściwie wykorzystywany do dostarczania złośliwego oprogramowania. Sprytne manipulowanie tym protokołem przez aktora dodaje dodatkową warstwę oszustwa do procesu infekcji.

Grupy APT (Advanced Persistent Threat) często wykorzystują luki dnia zerowego

To charakterystyczne podejście do odniesień stosowane w łańcuchu infekcji DarkMe wynika z wykorzystania skrótu w innym skrócie, który okazał się skuteczny w obchodzeniu SmartScreen. W tym przypadku SmartScreen nie stosuje odpowiednio Mark of the Web (MotW), kluczowego komponentu systemu Windows zaprojektowanego do ostrzegania użytkowników podczas otwierania lub uruchamiania plików z niezaufanych źródeł.

Ostatecznym celem tej kampanii jest potajemne dostarczenie w tle trojana Visual Basic znanego jako DarkMe. Jednocześnie kampania utrzymuje zwodniczą fasadę, wyświetlając ofierze wykres giełdowy, ukrywając prawdziwą naturę łańcucha wyzysku i infekcji.

Warto zauważyć, że nowo odkryte luki typu zero-day, często identyfikowane przez grupy cyberprzestępcze, mogą przedostać się do arsenałów grup hakerskich na poziomie państw narodowych. Ci wyrafinowani napastnicy, tacy jak Water Hydra, posiadają wiedzę techniczną i narzędzia wymagane do odkrywania i wykorzystywania luk dnia zerowego w zaawansowanych kampaniach. Umożliwia im to wdrażanie wysoce destrukcyjnego złośliwego oprogramowania, takiego jak DarkMe, pokazując ich zdolność do przeprowadzania skomplikowanych i potężnych ataków.