DarkMe Malware
Uma vulnerabilidade de segurança revelada recentemente no Microsoft Defender SmartScreen foi utilizada como uma exploração de dia zero por um grupo avançado de ameaças persistentes conhecido como Water Hydra, também identificado como DarkCasino. Os principais alvos deste ataque são indivíduos envolvidos em negociações no mercado financeiro. Os pesquisadores descobriram esta campanha maliciosa em dezembro de 2023.
Os invasores estão aproveitando o CVE-2024-21412, uma vulnerabilidade de desvio de segurança associada aos arquivos de atalho da Internet (.URL). Na sequência do ataque, o agente da ameaça utiliza CVE-2024-21412 para contornar o Microsoft Defender SmartScreen e introduzir o malware DarkMe para infectar vítimas inocentes.
Desde então, a Microsoft abordou essa vulnerabilidade em sua atualização Patch Tuesday de fevereiro. De acordo com a empresa, um hacker não autenticado poderia tirar vantagem da falha, enviando um arquivo especialmente criado para o usuário visado, permitindo-lhe contornar as verificações de segurança. No entanto, o sucesso da exploração depende de o agente da ameaça convencer a vítima a clicar no link do arquivo e visualizar o conteúdo controlado pelo invasor.
O DarkMe Malware é Implantado por Meio de uma Cadeia de Ataque em Vários Estágios
O DarkMe exibe a capacidade não apenas de baixar e executar instruções adicionais, mas também de registrar-se em um servidor de Comando e Controle (C2) e coletar informações do sistema comprometido.
Durante o processo de infecção observado, a exploração do CVE-2024-21412 é empregada para implantar um arquivo de instalação prejudicial ('7z.msi'). Isto é conseguido incentivando as vítimas a clicarem num URL armadilhado ('fxbulls.ru'), que é divulgado através de fóruns de negociação forex. A atração é apresentada sob o pretexto de compartilhar um link para uma imagem de gráfico de ações. No entanto, o conteúdo real do link é um arquivo de atalho da Internet ('photo_2023-12-29.jpg.url').
A página inicial em 'fxbulls.ru' apresenta um link que leva a um compartilhamento WebDAV ameaçador com uma visualização filtrada cuidadosamente elaborada. Quando os usuários clicam neste link, o navegador solicita que eles o abram no Windows Explorer. Notavelmente, isso não aciona um aviso de segurança, levando potencialmente o usuário a ignorar a natureza insegura do link.
Um aspecto digno de nota desse esquema é a exploração do protocolo do aplicativo de pesquisa pelo agente da ameaça, comumente usado para chamar o aplicativo de pesquisa de desktop no Windows. Este protocolo foi mal utilizado no passado para entregar malware. A manipulação inteligente deste protocolo pelo ator adiciona uma camada adicional de engano ao processo de infecção.
Grupos de APT (Ameaça Persistente Avançada) Frequentemente Exploram Vulnerabilidades de Dia Zero
Esta abordagem distinta de referência usada na cadeia de infecção do DarkMe surge da utilização de um atalho dentro de outro atalho, que se mostrou eficaz para contornar o SmartScreen. Neste caso, o SmartScreen não aplica adequadamente a Marca da Web (MotW), um componente crucial do Windows projetado para alertar os usuários ao abrir ou executar arquivos de fontes não confiáveis.
O objetivo final desta campanha é entregar secretamente um Trojan Visual Basic conhecido como DarkMe em segundo plano. Simultaneamente, a campanha mantém uma fachada enganosa ao exibir um gráfico de ações à vítima, ocultando a verdadeira natureza da cadeia de exploração e infecção.
É digno de nota que vulnerabilidades de dia zero recentemente descobertas, muitas vezes identificadas por grupos de crimes cibernéticos, podem chegar aos arsenais de grupos de hackers de estados-nação. Esses invasores sofisticados, como o Water Hydra, possuem o conhecimento técnico e as ferramentas necessárias para descobrir e explorar vulnerabilidades de dia zero em campanhas avançadas. Isso lhes permite implantar malware altamente destrutivo como o DarkMe, demonstrando sua capacidade de executar ataques complexos e potentes.
