Zlonamerna programska oprema DarkMe
Nedavno razkrita varnostna ranljivost v Microsoft Defender SmartScreen je bila uporabljena kot zero-day exploit s strani napredne trdovratne skupine groženj, znane kot Water Hydra, identificirane tudi kot DarkCasino. Primarne tarče tega napada so posamezniki, vključeni v trgovanje na finančnem trgu. Raziskovalci so to zlonamerno kampanjo odkrili decembra 2023.
Napadalci izkoriščajo CVE-2024-21412, varnostno obvodno ranljivost, povezano z datotekami internetnih bližnjic (.URL). V zaporedju napada akter grožnje uporabi CVE-2024-21412, da zaobide Microsoft Defender SmartScreen in uvede zlonamerno programsko opremo DarkMe, da okuži nič hudega sluteče žrtve.
Microsoft je od takrat obravnaval to ranljivost v svoji posodobitvi februarskega popravka v torek. Po navedbah podjetja bi lahko nepooblaščeni heker izkoristil napako tako, da bi ciljnemu uporabniku poslal posebej oblikovano datoteko, kar bi mu omogočilo, da zaobide varnostne preglede. Vendar pa je uspeh izkoriščanja odvisen od akterja grožnje, ki prepriča žrtev, da klikne povezavo do datoteke in si ogleda vsebino, ki jo nadzoruje napadalec.
Zlonamerna programska oprema DarkMe je nameščena prek večstopenjske verige napadov
DarkMe ne kaže le zmožnosti prenosa in izvajanja dodatnih navodil, ampak tudi registracije na strežniku Command-and-Control (C2) in zbiranja informacij iz ogroženega sistema.
Med opazovanim postopkom okužbe se izkoriščanje CVE-2024-21412 uporabi za namestitev škodljive namestitvene datoteke ('7z.msi'). To dosežemo tako, da žrtve napeljemo k klikanju URL-ja z minami ('fxbulls.ru'), ki se razširja prek forumov za trgovanje na forexu. Vaba je predstavljena pod krinko deljenja povezave do slike borzne karte. Vendar je dejanska vsebina povezave datoteka internetne bližnjice ('photo_2023-12-29.jpg.url').
Ciljna stran na 'fxbulls.ru' vsebuje povezavo, ki vodi do nevarne skupne rabe WebDAV s skrbno oblikovanim filtriranim pogledom. Ko uporabniki kliknejo to povezavo, jih brskalnik pozove, naj jo odprejo v Raziskovalcu. Predvsem to ne sproži varnostnega poziva, zaradi česar lahko uporabnik spregleda nevarno naravo povezave.
Pomembe vreden vidik te sheme je izkoriščanje protokola iskalne aplikacije s strani akterja grožnje, ki se običajno uporablja za klicanje namizne iskalne aplikacije v sistemu Windows. Ta protokol je bil v preteklosti zlorabljen za dostavo zlonamerne programske opreme. Igralčeva pametna manipulacija s tem protokolom doda procesu okužbe dodatno plast prevare.
Skupine APT (Advanced Persistent Threat) pogosto izkoriščajo ranljivosti ničelnega dne
Ta poseben pristop k sklicevanju, uporabljen v verigi okužbe DarkMe, izhaja iz uporabe bližnjice znotraj druge bližnjice, ki se je izkazala za učinkovito pri izogibanju SmartScreen. V tem primeru SmartScreen ne uspe ustrezno uporabiti oznake spleta (MotW), ključne komponente sistema Windows, ki je zasnovana za opozarjanje uporabnikov pri odpiranju ali izvajanju datotek iz nezaupljivih virov.
Končni cilj te kampanje je v ozadju prikrito dostaviti trojanca Visual Basic, znanega kot DarkMe. Hkrati kampanja vzdržuje zavajajočo fasado tako, da žrtvi prikaže borzni graf, s čimer prikrije pravo naravo verige izkoriščanja in okužbe.
Omeniti velja, da se lahko na novo odkrite ranljivosti ničelnega dne, ki jih pogosto odkrijejo skupine kibernetskega kriminala, znajdejo v arzenalu hekerskih skupin nacionalnih držav. Ti prefinjeni napadalci, kot je Water Hydra, imajo tehnično strokovno znanje in orodja, potrebna za odkrivanje in izkoriščanje ranljivosti ničelnega dne v naprednih kampanjah. To jim omogoča uvedbo zelo uničujoče zlonamerne programske opreme, kot je DarkMe, s čimer pokažejo svojo sposobnost izvajanja zapletenih in močnih napadov.
