Škodlivý softvér DarkMe

Nedávno odhalená bezpečnostná chyba v Microsoft Defender SmartScreen bola využitá ako zero-day exploit skupinou pokročilých pretrvávajúcich hrozieb, známa ako Water Hydra, tiež identifikovaná ako DarkCasino. Primárnymi cieľmi tohto útoku sú jednotlivci zapojení do obchodovania na finančnom trhu. Výskumníci objavili túto škodlivú kampaň v decembri 2023.

Útočníci využívajú CVE-2024-21412, chybu zabezpečenia súvisiacu so súbormi Internet Shortcut Files (.URL). V sekvencii útoku aktér hrozby využíva CVE-2024-21412 na obídenie Microsoft Defender SmartScreen a zavedenie škodlivého softvéru DarkMe na infikovanie nič netušiacich obetí.

Spoločnosť Microsoft odvtedy túto chybu zabezpečenia rieši vo svojej februárovej aktualizácii Patch Tuesday. Podľa spoločnosti by neoverený hacker mohol využiť chybu tým, že pošle špeciálne vytvorený súbor cieľovému používateľovi, čo mu umožní obísť bezpečnostné kontroly. Úspech zneužitia však závisí od toho, či aktér hrozby presvedčí obeť, aby klikla na odkaz na súbor a zobrazila si obsah kontrolovaný útočníkom.

Malvér DarkMe sa nasadzuje prostredníctvom viacstupňového reťazca útokov

DarkMe vykazuje schopnosť nielen stiahnuť a vykonať ďalšie inštrukcie, ale aj zaregistrovať sa na serveri Command-and-Control (C2) a zbierať informácie z napadnutého systému.

Počas pozorovaného procesu infekcie sa využíva CVE-2024-21412 na nasadenie škodlivého inštalačného súboru ('7z.msi'). Dosahuje sa to lákaním obetí, aby klikli na nastraženú URL ('fxbulls.ru'), ktorá je šírená prostredníctvom forexových obchodných fór. Návnada je prezentovaná pod rúškom zdieľania odkazu na obrázok burzového grafu. Skutočným obsahom odkazu je však súbor internetovej skratky („photo_2023-12-29.jpg.url“).

Vstupná stránka na 'fxbulls.ru' obsahuje odkaz vedúci k hrozivému zdieľaniu WebDAV so starostlivo vytvoreným filtrovaným zobrazením. Keď používatelia kliknú na tento odkaz, prehliadač ich vyzve, aby ho otvorili v programe Windows Prieskumník. Je pozoruhodné, že to nespustí výzvu zabezpečenia, čo môže viesť používateľa k tomu, že prehliadne nebezpečnú povahu odkazu.

Pozoruhodným aspektom tejto schémy je zneužitie protokolu vyhľadávacej aplikácie zo strany aktéra hrozby, ktorý sa bežne používa na volanie desktopovej vyhľadávacej aplikácie v systéme Windows. Tento protokol bol v minulosti zneužitý na doručovanie malvéru. Hercova šikovná manipulácia s týmto protokolom pridáva do procesu infekcie ďalšiu vrstvu podvodu.

Skupiny APT (pokročilá perzistentná hrozba) často využívajú zraniteľnosti nultého dňa

Tento osobitý prístup k odkazovaniu používaný v reťazci infekcie DarkMe vychádza z použitia skratky v rámci inej skratky, ktorá sa ukázala ako účinná pri obchádzaní SmartScreen. V tomto prípade SmartScreen nedokáže správne použiť značku webu (MotW), kľúčový komponent systému Windows, ktorý má upozorniť používateľov pri otváraní alebo spúšťaní súborov z nedôveryhodných zdrojov.

Konečným cieľom tejto kampane je tajne doručiť na pozadí trójskeho koňa Visual Basic známeho ako DarkMe. Kampaň si zároveň zachováva klamlivú fasádu tým, že obeti zobrazuje akciový graf, ktorý skrýva skutočnú povahu reťazca vykorisťovania a infekcie.

Je pozoruhodné, že novoobjavené zraniteľnosti zero-day, často identifikované skupinami kyberzločinu, si môžu nájsť cestu do arzenálu hackerských skupín národných štátov. Títo sofistikovaní útočníci, ako napríklad Water Hydra, disponujú technickými znalosťami a nástrojmi potrebnými na odhalenie a využitie zraniteľností zero-day v pokročilých kampaniach. To im umožňuje nasadiť vysoko deštruktívny malvér, ako je DarkMe, a ukázať tak svoju schopnosť vykonávať zložité a silné útoky.