DarkMe Malware

En nyligen avslöjad säkerhetssårbarhet i Microsoft Defender SmartScreen har använts som en nolldagarsexploatering av en avancerad grupp av bestående hot känd som Water Hydra, även identifierad som DarkCasino. De primära målen för denna attack är individer som är involverade i handel på finansmarknaden. Forskarna upptäckte denna skadliga kampanj i december 2023.

Angriparna drar fördel av CVE-2024-21412, en säkerhetsbrist som är kopplad till Internet Genvägsfiler (.URL). I attacksekvensen använder hotaktören CVE-2024-21412 för att kringgå Microsoft Defender SmartScreen och introducera DarkMe malware för att infektera intet ont anande offer.

Microsoft har sedan dess åtgärdat denna sårbarhet i sin februari Patch Tuesday-uppdatering. Enligt företaget kan en oautentiserad hackare dra fördel av felet genom att skicka en specialgjord fil till den riktade användaren, så att de kan kringgå säkerhetskontroller. Framgången med utnyttjandet beror dock på att hotaktören övertygar offret att klicka på fillänken och se innehållet som kontrolleras av angriparen.

DarkMe Malware distribueras via en attackkedja i flera steg

DarkMe uppvisar förmågan att inte bara ladda ner och utföra ytterligare instruktioner utan också att registrera sig själv med en Command-and-Control-server (C2) och samla in information från det komprometterade systemet.

Under den observerade infektionsprocessen används utnyttjandet av CVE-2024-21412 för att distribuera en skadlig installationsfil ('7z.msi'). Detta uppnås genom att locka offer att klicka på en booby-trapped URL ('fxbulls.ru'), som sprids genom valutahandelsforum. Locket presenteras under sken av att dela en länk till en aktiediagrambild. Det faktiska innehållet i länken är dock en internetgenvägsfil ('photo_2023-12-29.jpg.url').

Målsidan på 'fxbulls.ru' har en länk som leder till en hotfull WebDAV-andel med en noggrant utformad filtrerad vy. När användare klickar på den här länken uppmanar webbläsaren dem att öppna den i Utforskaren i Windows. Detta utlöser inte en säkerhetsprompt, vilket kan leda till att användaren förbiser länkens osäkra natur.

En anmärkningsvärd aspekt av detta schema är hotaktörens utnyttjande av sökapplikationsprotokollet, som vanligtvis används för att anropa skrivbordssökprogrammet på Windows. Detta protokoll har missbrukats tidigare för att leverera skadlig programvara. Skådespelarens smarta manipulation av detta protokoll lägger till ett ytterligare lager av bedrägeri till infektionsprocessen.

APT-grupper (Advanced Persistent Threat) utnyttjar ofta Zero-Day Vulnerabilities

Denna distinkta metod för referenser som används i DarkMe-infektionskedjan härrör från användningen av en genväg inom en annan genväg, vilket har visat sig effektivt för att kringgå SmartScreen. I det här fallet misslyckas SmartScreen med att tillämpa Mark of the Web (MotW), en viktig Windows-komponent som är utformad för att varna användare när de öppnar eller kör filer från opålitliga källor.

Det slutliga målet med denna kampanj är att i smyg leverera en Visual Basic-trojan som kallas DarkMe i bakgrunden. Samtidigt upprätthåller kampanjen en vilseledande fasad genom att visa en stockgraf för offret, som döljer den sanna naturen hos exploaterings- och infektionskedjan.

Det är anmärkningsvärt att nyupptäckta nolldagarssårbarheter, ofta identifierade av cyberbrottsgrupper, kan hitta sin väg in i arsenalerna av nationalstatliga hackningsgrupper. Dessa sofistikerade angripare, som Water Hydra, besitter den tekniska expertis och verktyg som krävs för att avslöja och utnyttja nolldagssårbarheter i avancerade kampanjer. Detta gör det möjligt för dem att distribuera mycket destruktiv skadlig programvara som DarkMe, vilket visar upp deras förmåga att utföra intrikata och potenta attacker.