Вредоносное ПО DarkMe

Недавно обнаруженная уязвимость безопасности в Microsoft Defender SmartScreen была использована в качестве эксплойта нулевого дня группой постоянных постоянных угроз, известной как Water Hydra, также известной как DarkCasino. Основной целью этой атаки являются лица, участвующие в торговле на финансовых рынках. Исследователи обнаружили эту вредоносную кампанию в декабре 2023 года.

Злоумышленники воспользовались CVE-2024-21412, уязвимостью обхода безопасности, связанной с файлами ярлыков Интернета (.URL). В ходе атаки злоумышленник использует CVE-2024-21412, чтобы обойти SmartScreen Microsoft Defender и внедрить вредоносное ПО DarkMe для заражения ничего не подозревающих жертв.

С тех пор Microsoft устранила эту уязвимость в февральском обновлении «Вторник исправлений». По данным компании, хакер, не прошедший проверку подлинности, может воспользоваться уязвимостью, отправив специально созданный файл целевому пользователю, что позволит ему обойти проверки безопасности. Однако успех эксплуатации зависит от того, насколько злоумышленник убедит жертву щелкнуть ссылку на файл и просмотреть содержимое, контролируемое злоумышленником.

Вредоносная программа DarkMe развертывается посредством многоэтапной цепочки атак

DarkMe демонстрирует возможность не только загружать и выполнять дополнительные инструкции, но также регистрироваться на сервере управления и контроля (C2) и собирать информацию из скомпрометированной системы.

Во время наблюдаемого процесса заражения эксплойт CVE-2024-21412 используется для развертывания вредоносного установочного файла («7z.msi»). Это достигается путем побуждения жертв нажать на заминированный URL-адрес («fxbulls.ru»), который распространяется через торговые форумы Форекс. Приманка представлена под видом публикации ссылки на изображение биржевого графика. Однако фактическое содержимое ссылки представляет собой файл ярлыка в Интернете (photo_2023-12-29.jpg.url).

На целевой странице fxbulls.ru имеется ссылка, ведущая на угрожающую публикацию WebDAV с тщательно созданным фильтрованным представлением. Когда пользователи нажимают на эту ссылку, браузер предлагает им открыть ее в проводнике Windows. Примечательно, что это не вызывает запроса безопасности, что потенциально может привести к тому, что пользователь упустит из виду небезопасный характер ссылки.

Примечательным аспектом этой схемы является использование злоумышленником протокола приложения поиска, обычно используемого для вызова приложения поиска на рабочем столе в Windows. В прошлом этот протокол использовался не по назначению для доставки вредоносного ПО. Умные манипуляции злоумышленника с этим протоколом добавляют дополнительный уровень обмана к процессу заражения.

Группы APT (Advanced Persistent Threat) часто используют уязвимости нулевого дня

Этот особый подход к ссылкам, используемый в цепочке заражения DarkMe, возникает в результате использования ярлыка внутри другого ярлыка, что доказало свою эффективность в обходе SmartScreen. В этом случае SmartScreen не может должным образом применить Знак Интернета (MotW), важный компонент Windows, предназначенный для предупреждения пользователей при открытии или запуске файлов из ненадежных источников.

Конечная цель этой кампании — тайно доставить в фоновом режиме трояна Visual Basic, известного как DarkMe. В то же время кампания сохраняет обманчивый фасад, показывая жертве график акций, скрывая истинную природу цепочки эксплуатации и заражения.

Примечательно, что недавно обнаруженные уязвимости нулевого дня, часто выявляемые группировками киберпреступников, могут попасть в арсеналы хакерских группировок национальных государств. Эти опытные злоумышленники, такие как Water Hydra, обладают техническим опытом и инструментами, необходимыми для обнаружения и использования уязвимостей нулевого дня в сложных кампаниях. Это позволяет им использовать крайне разрушительные вредоносные программы, такие как DarkMe, демонстрируя свою способность выполнять сложные и мощные атаки.