DarkMe Malware

O vulnerabilitate de securitate dezvăluită recent în Microsoft Defender SmartScreen a fost utilizată ca exploatare zero-day de către un grup avansat de amenințări persistente cunoscut sub numele de Water Hydra, identificat și ca DarkCasino. Țintele principale ale acestui atac sunt persoanele implicate în tranzacționarea pe piața financiară. Cercetătorii au descoperit această campanie rău intenționată în decembrie 2023.

Atacatorii profită de CVE-2024-21412, o vulnerabilitate de ocolire de securitate asociată cu Internet Shortcut Files (.URL). În secvența de atac, actorul amenințării folosește CVE-2024-21412 pentru a ocoli Microsoft Defender SmartScreen și a introduce malware-ul DarkMe pentru a infecta victimele nebănuitoare.

De atunci, Microsoft a abordat această vulnerabilitate în actualizarea sa din februarie Patch Tuesday. Potrivit companiei, un hacker neautentificat ar putea profita de defect prin trimiterea unui fișier special creat utilizatorului vizat, permițându-i acestuia să ocolească verificările de securitate. Cu toate acestea, succesul exploatării se bazează pe actorul amenințării care convinge victima să facă clic pe linkul fișierului și să vadă conținutul controlat de atacator.

Malware DarkMe este implementat printr-un lanț de atac în mai multe etape

DarkMe prezintă capacitatea nu numai de a descărca și executa instrucțiuni suplimentare, ci și de a se înregistra pe un server Command-and-Control (C2) și de a colecta informații de pe sistemul compromis.

În timpul procesului de infecție observat, exploatarea CVE-2024-21412 este utilizată pentru a implementa un fișier de instalare dăunător („7z.msi”). Acest lucru se realizează prin atragerea victimelor să facă clic pe o adresă URL capcană („fxbulls.ru”), care este diseminată prin forumuri de tranzacționare valutară. Naluca este prezentată sub pretextul partajării unui link către o imagine de diagramă stoc. Cu toate acestea, conținutul real al link-ului este un fișier de comandă rapidă pe internet („photo_2023-12-29.jpg.url”).

Pagina de destinație de pe „fxbulls.ru” conține un link care duce la o partajare WebDAV amenințătoare cu o vizualizare filtrată atent concepută. Când utilizatorii dau clic pe acest link, browserul le solicită să îl deschidă în Windows Explorer. În special, acest lucru nu declanșează o solicitare de securitate, ceea ce poate conduce utilizatorul să treacă cu vederea natura nesigură a legăturii.

Un aspect demn de remarcat al acestei scheme este exploatarea de către actorul amenințării a protocolului aplicației de căutare, folosit în mod obișnuit pentru apelarea aplicației de căutare desktop pe Windows. Acest protocol a fost folosit greșit în trecut pentru a furniza malware. Manipularea inteligentă de către actor a acestui protocol adaugă un strat suplimentar de înșelăciune procesului de infecție.

Grupurile APT (Advanced Persistent Threat) exploatează adesea vulnerabilitățile Zero Day

Această abordare distinctivă a referințelor utilizată în lanțul de infecții DarkMe provine din utilizarea unei comenzi rapide în cadrul unei alte comenzi rapide, care s-a dovedit eficientă în eludarea SmartScreen. În acest caz, SmartScreen nu reușește să aplice în mod corespunzător marcajul Web (MotW), o componentă esențială Windows concepută pentru a alerta utilizatorii atunci când deschid sau rulează fișiere din surse nesigure.

Obiectivul final al acestei campanii este acela de a livra în fundal un troian Visual Basic cunoscut sub numele de DarkMe. Simultan, campania menține o fațadă înșelătoare prin afișarea unui grafic stoc victimei, ascunzând adevărata natură a lanțului de exploatare și infecție.

Este demn de remarcat faptul că vulnerabilitățile de tip zero-day recent descoperite, adesea identificate de grupurile criminale cibernetice, își pot găsi drumul în arsenalele grupurilor de hacking ale statelor naționale. Acești atacatori sofisticați, cum ar fi Water Hydra, posedă expertiza tehnică și instrumentele necesare pentru a descoperi și exploata vulnerabilitățile zero-day în campaniile avansate. Acest lucru le permite să implementeze programe malware extrem de distructive precum DarkMe, arătându-și capacitatea de a executa atacuri complexe și puternice.