DarkMe Malware

Një cenueshmëri sigurie e zbuluar së fundmi në Microsoft Defender SmartScreen është përdorur si një shfrytëzim i ditës zero nga një grup i avancuar kërcënimi i vazhdueshëm i njohur si Water Hydra, i identifikuar gjithashtu si DarkCasino. Objektivat kryesore të këtij sulmi janë individët e përfshirë në tregtimin e tregut financiar. Studiuesit zbuluan këtë fushatë dashakeqe në dhjetor 2023.

Sulmuesit po përfitojnë nga CVE-2024-21412, një cenueshmëri e anashkalimit të sigurisë që lidhet me skedarët e shkurtoreve të internetit (.URL). Në sekuencën e sulmit, aktori i kërcënimit përdor CVE-2024-21412 për të anashkaluar Microsoft Defender SmartScreen dhe për të prezantuar malware DarkMe për të infektuar viktima që nuk dyshojnë.

Microsoft që atëherë e ka trajtuar këtë dobësi në përditësimin e tij të së martës, Patch-i i shkurtit. Sipas kompanisë, një haker i paautentikuar mund të përfitojë nga defekti duke i dërguar një skedar të krijuar posaçërisht te përdoruesi i synuar, duke i lejuar ata të anashkalojnë kontrollet e sigurisë. Megjithatë, suksesi i shfrytëzimit mbështetet në aktorin e kërcënimit që e bind viktimën të klikojë në lidhjen e skedarit dhe të shikojë përmbajtjen e kontrolluar nga sulmuesi.

Malware DarkMe vendoset nëpërmjet një zinxhiri sulmi me shumë faza

DarkMe shfaq aftësinë jo vetëm për të shkarkuar dhe ekzekutuar udhëzime shtesë, por edhe për të regjistruar veten me një server Command-and-Control (C2) dhe për të mbledhur informacion nga sistemi i komprometuar.

Gjatë procesit të infeksionit të vëzhguar, shfrytëzimi i CVE-2024-21412 përdoret për të vendosur një skedar instaluesi të dëmshëm ('7z.msi'). Kjo arrihet duke joshur viktimat që të klikojnë në një URL të bllokuar ('fxbulls.ru'), e cila shpërndahet përmes forumeve të tregtimit Forex. Joshja paraqitet nën maskën e ndarjes së një lidhjeje në një imazh të grafikut të aksioneve. Megjithatë, përmbajtja aktuale e lidhjes është një skedar shkurtore interneti ('photo_2023-12-29.jpg.url').

Faqja e uljes në 'fxbulls.ru' përmban një lidhje që çon në një ndarje kërcënuese të WebDAV me një pamje të filtruar të krijuar me kujdes. Kur përdoruesit klikojnë në këtë lidhje, shfletuesi i kërkon ta hapin atë në Windows Explorer. Veçanërisht, kjo nuk shkakton një kërkesë sigurie, duke çuar potencialisht përdoruesin të anashkalojë natyrën e pasigurt të lidhjes.

Një aspekt i rëndësishëm i kësaj skeme është shfrytëzimi nga aktori i kërcënimit të protokollit të aplikacionit të kërkimit, i përdorur zakonisht për thirrjen e aplikacionit të kërkimit në desktop në Windows. Ky protokoll është keqpërdorur në të kaluarën për të ofruar malware. Manipulimi i zgjuar i aktorit me këtë protokoll shton një shtresë shtesë mashtrimi në procesin e infektimit.

Grupet APT (Kërcënimi i përparuar i përparuar) shpesh shfrytëzojnë dobësitë e ditës zero

Kjo qasje e veçantë për referencën e përdorur në zinxhirin e infeksionit DarkMe lind nga përdorimi i një shkurtoreje brenda një shkurtoreje tjetër, e cila ka rezultuar efektive në anashkalimin e SmartScreen. Në këtë rast, SmartScreen nuk arrin të zbatojë siç duhet Markën e Uebit (MotW), një komponent thelbësor i Windows i krijuar për të paralajmëruar përdoruesit kur hapin ose ekzekutojnë skedarë nga burime të pabesueshme.

Objektivi përfundimtar i kësaj fushate është të japë në mënyrë të fshehtë një Trojan Visual Basic të njohur si DarkMe në sfond. Në të njëjtën kohë, fushata ruan një fasadë mashtruese duke i shfaqur viktimës një grafik stoku, duke fshehur natyrën e vërtetë të zinxhirit të shfrytëzimit dhe infeksionit.

Vlen të përmendet se dobësitë e sapo zbuluara të ditës zero, të identifikuara shpesh nga grupet e krimit kibernetik, mund të gjejnë rrugën e tyre në arsenalet e grupeve të hakerëve të shteteve kombëtare. Këta sulmues të sofistikuar, si Water Hydra, zotërojnë ekspertizën teknike dhe mjetet e nevojshme për të zbuluar dhe shfrytëzuar dobësitë e ditës zero në fushatat e avancuara. Kjo u mundëson atyre të vendosin malware shumë shkatërrues si DarkMe, duke shfaqur aftësinë e tyre për të ekzekutuar sulme të ndërlikuara dhe të fuqishme.