ДаркМе Малваре
Недавно откривена безбедносна рањивост у Мицрософт Дефендер СмартСцреен-у је искоришћена као експлоатација нултог дана од стране напредне групе упорних претњи познате као Ватер Хидра, такође идентификоване као ДаркЦасино. Примарне мете овог напада су појединци укључени у трговину на финансијском тржишту. Истраживачи су открили ову злонамерну кампању у децембру 2023.
Нападачи користе предност ЦВЕ-2024-21412, рањивости безбедносног заобилажења повезане са датотекама пречица на Интернету (.УРЛ). У секвенци напада, актер претње користи ЦВЕ-2024-21412 да заобиђе Мицрософт Дефендер СмартСцреен и уведе ДаркМе малвер како би заразио несуђене жртве.
Мицрософт је од тада решио ову рањивост у свом ажурирању закрпе у фебруару у уторак. Према наводима компаније, хакер без аутентификације могао би да искористи пропуст тако што ће послати посебно направљену датотеку циљаном кориснику, омогућавајући им да заобиђу безбедносне провере. Међутим, успех експлоатације зависи од тога да актер претње убеди жртву да кликне на везу датотеке и погледа садржај који контролише нападач.
ДаркМе злонамерни софтвер се примењује преко вишестепеног ланца напада
ДаркМе показује способност не само да преузима и извршава додатна упутства, већ и да се региструје на серверу за команду и контролу (Ц2) и прикупља информације са компромитованог система.
Током посматраног процеса инфекције, експлоатација ЦВЕ-2024-21412 се користи за примену штетне инсталационе датотеке ('7з.мси'). Ово се постиже тако што се жртве подстичу да кликну на заробљену УРЛ адресу ('фкбуллс.ру'), која се шири преко форума за форек трговину. Мамац је представљен под маском дељења везе до слике графикона акција. Међутим, стварни садржај везе је датотека пречице на Интернету ('пхото_2023-12-29.јпг.урл').
Одредишна страница на 'фкбуллс.ру' садржи везу која води до претеће дељења ВебДАВ-а са пажљиво направљеним филтрираним приказом. Када корисници кликну на ову везу, прегледач их тражи да је отворе у Виндовс Екплорер-у. Нарочито, ово не покреће безбедносни упит, потенцијално наводећи корисника да превиди небезбедну природу везе.
Значајан аспект ове шеме је искоришћавање протокола апликације за претрагу од стране актера претњи, који се обично користи за позивање апликације за претрагу на рачунару у Виндовс-у. Овај протокол је у прошлости био злоупотребљен за испоруку злонамерног софтвера. Глумчева паметна манипулација овим протоколом додаје додатни слој обмане процесу инфекције.
АПТ (напредне трајне претње) групе често искориштавају рањивости нултог дана
Овај препознатљив приступ референцирању који се користи у ДаркМе ланцу инфекције произилази из коришћења пречице унутар друге пречице, која се показала ефикасном у заобилажењу СмартСцреен-а. У овом случају, СмартСцреен не успева на одговарајући начин да примени Ознаку веба (МотВ), кључну компоненту Виндовс-а дизајнирану да упозори кориснике када отварају или покрећу датотеке из непоузданих извора.
Крајњи циљ ове кампање је да се потајно испоручи Висуал Басиц тројанац познат као ДаркМе у позадини. Истовремено, кампања одржава обмањујућу фасаду тако што жртви приказује графикон акција, прикривајући праву природу ланца експлоатације и инфекције.
Важно је напоменути да новооткривене рањивости нултог дана, које често идентификују групе за сајбер криминал, могу наћи свој пут у арсеналу хакерских група националних држава. Ови софистицирани нападачи, као што је Ватер Хидра, поседују техничку експертизу и алате потребне да открију и искористе рањивости нултог дана у напредним кампањама. Ово им омогућава да примене веома деструктиван злонамерни софтвер као што је ДаркМе, показујући своју способност да изврше сложене и моћне нападе.
