DarkMe மால்வேர்

மைக்ரோசாஃப்ட் டிஃபென்டர் ஸ்மார்ட்ஸ்கிரீனில் சமீபத்தில் வெளிப்படுத்தப்பட்ட பாதுகாப்பு பாதிப்பு, டார்க் கேசினோ என அறியப்படும் வாட்டர் ஹைட்ரா எனப்படும் மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் குழுவால் பூஜ்ஜிய-நாள் சுரண்டலாகப் பயன்படுத்தப்பட்டது. இந்தத் தாக்குதலின் முதன்மை இலக்குகள் நிதிச் சந்தை வர்த்தகத்தில் ஈடுபடும் நபர்கள். டிசம்பர் 2023 இல் இந்த தீங்கிழைக்கும் பிரச்சாரத்தை ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர்.

இணைய ஷார்ட்கட் கோப்புகளுடன் (.URL) தொடர்புடைய பாதுகாப்பு பைபாஸ் பாதிப்பு CVE-2024-21412ஐத் தாக்குபவர்கள் பயன்படுத்திக் கொள்கிறார்கள். தாக்குதல் வரிசையில், அச்சுறுத்தல் நடிகர் மைக்ரோசாஃப்ட் டிஃபென்டர் ஸ்மார்ட்ஸ்கிரீனைத் தவிர்க்க CVE-2024-21412 ஐப் பயன்படுத்துகிறார் மற்றும் சந்தேகத்திற்கு இடமின்றி பாதிக்கப்பட்டவர்களுக்கு பாதிப்பை ஏற்படுத்த DarkMe தீம்பொருளை அறிமுகப்படுத்துகிறார்.

மைக்ரோசாப்ட் அதன் பிப்ரவரி பேட்ச் செவ்வாய் புதுப்பிப்பில் இந்த பாதிப்பை நிவர்த்தி செய்துள்ளது. நிறுவனத்தின் கூற்றுப்படி, ஒரு அங்கீகரிக்கப்படாத ஹேக்கர், சிறப்பாக வடிவமைக்கப்பட்ட கோப்பை இலக்கு பயனருக்கு அனுப்புவதன் மூலம் குறைபாட்டைப் பயன்படுத்திக் கொள்ளலாம், இதனால் பாதுகாப்பு சோதனைகளைத் தவிர்க்கலாம். இருப்பினும், சுரண்டலின் வெற்றியானது, ஃபைல் லிங்கை கிளிக் செய்து, தாக்குபவர் கட்டுப்படுத்தும் உள்ளடக்கத்தைப் பார்க்க, பாதிக்கப்பட்டவரை நம்ப வைப்பதன் மூலம் அச்சுறுத்தல் நடிகரை நம்பியிருக்கிறது.

DarkMe மால்வேர் பல-நிலை தாக்குதல் சங்கிலி வழியாக பயன்படுத்தப்படுகிறது

DarkMe கூடுதல் வழிமுறைகளை பதிவிறக்கம் செய்து செயல்படுத்துவது மட்டுமல்லாமல், கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தன்னைப் பதிவுசெய்து, சமரசம் செய்யப்பட்ட கணினியிலிருந்து தகவல்களைச் சேகரிக்கும் திறனை வெளிப்படுத்துகிறது.

கவனிக்கப்பட்ட தொற்று செயல்முறையின் போது, CVE-2024-21412 இன் சுரண்டல் ஒரு தீங்கு விளைவிக்கும் நிறுவி கோப்பை ('7z.msi') பயன்படுத்த பயன்படுத்தப்படுகிறது. அந்நிய செலாவணி வர்த்தக மன்றங்கள் மூலம் பரப்பப்படும் பூபி-ட்ராப்ட் URL ('fxbulls.ru') ஐ கிளிக் செய்ய பாதிக்கப்பட்டவர்களை கவர்ந்திழுப்பதன் மூலம் இது அடையப்படுகிறது. பங்கு விளக்கப்படப் படத்திற்கான இணைப்பைப் பகிர்வது என்ற போர்வையில் கவர்ச்சி வழங்கப்படுகிறது. இருப்பினும், இணைப்பின் உண்மையான உள்ளடக்கம் இணைய குறுக்குவழி கோப்பாகும் ('photo_2023-12-29.jpg.url').

'fxbulls.ru' இல் உள்ள இறங்கும் பக்கத்தில், கவனமாக வடிவமைக்கப்பட்ட வடிகட்டப்பட்ட பார்வையுடன் அச்சுறுத்தும் WebDAV பகிர்வுக்கு வழிவகுக்கும் இணைப்பைக் கொண்டுள்ளது. பயனர்கள் இந்த இணைப்பைக் கிளிக் செய்யும் போது, உலாவி அதை விண்டோஸ் எக்ஸ்ப்ளோரரில் திறக்கும்படி கேட்கும். குறிப்பிடத்தக்க வகையில், இது பாதுகாப்புத் தூண்டலைத் தூண்டாது, இணைப்பின் பாதுகாப்பற்ற தன்மையைக் கவனிக்க பயனரை வழிநடத்தும்.

இந்த திட்டத்தின் குறிப்பிடத்தக்க அம்சம், விண்டோஸில் டெஸ்க்டாப் தேடல் பயன்பாட்டை அழைக்க பொதுவாகப் பயன்படுத்தப்படும் தேடல் பயன்பாட்டு நெறிமுறையை அச்சுறுத்தும் நடிகரின் சுரண்டலாகும். தீம்பொருளை வழங்குவதற்கு இந்த நெறிமுறை கடந்த காலத்தில் தவறாகப் பயன்படுத்தப்பட்டது. இந்த நெறிமுறையின் நடிகரின் புத்திசாலித்தனமான கையாளுதல் தொற்று செயல்முறைக்கு ஏமாற்றத்தின் கூடுதல் அடுக்கைச் சேர்க்கிறது.

APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) குழுக்கள் பெரும்பாலும் ஜீரோ-டே பாதிப்புகளை பயன்படுத்திக் கொள்கின்றன

DarkMe தொற்றுச் சங்கிலியில் பயன்படுத்தப்படும் குறிப்புக்கான இந்த தனித்துவமான அணுகுமுறை, மற்றொரு குறுக்குவழியில் குறுக்குவழியைப் பயன்படுத்துவதன் மூலம் எழுகிறது, இது SmartScreen ஐத் தவிர்ப்பதில் பயனுள்ளதாக நிரூபிக்கப்பட்டுள்ளது. இந்த நிகழ்வில், SmartScreen ஆனது Mark of the Web (MotW) ஐ சரியான முறையில் பயன்படுத்தத் தவறிவிடுகிறது, இது நம்பத்தகாத மூலங்களிலிருந்து கோப்புகளைத் திறக்கும் போது அல்லது இயக்கும் போது பயனர்களை எச்சரிக்க வடிவமைக்கப்பட்ட ஒரு முக்கியமான விண்டோஸ் கூறு ஆகும்.

இந்த பிரச்சாரத்தின் இறுதி நோக்கம், பின்னணியில் DarkMe எனப்படும் விஷுவல் பேசிக் ட்ரோஜனை மறைமுகமாக வழங்குவதாகும். அதே நேரத்தில், பிரச்சாரம் பாதிக்கப்பட்டவருக்கு ஒரு பங்கு வரைபடத்தைக் காண்பிப்பதன் மூலம் ஏமாற்றும் முகப்பை பராமரிக்கிறது, சுரண்டல் மற்றும் தொற்று சங்கிலியின் உண்மையான தன்மையை மறைக்கிறது.

புதிதாகக் கண்டுபிடிக்கப்பட்ட பூஜ்ஜிய நாள் பாதிப்புகள், பெரும்பாலும் சைபர் கிரைம் குழுக்களால் அடையாளம் காணப்படுகின்றன, அவை தேசிய-மாநில ஹேக்கிங் குழுக்களின் ஆயுதக் களஞ்சியங்களுக்குள் நுழைய முடியும் என்பது குறிப்பிடத்தக்கது. வாட்டர் ஹைட்ரா போன்ற இந்த அதிநவீன தாக்குபவர்கள், மேம்பட்ட பிரச்சாரங்களில் பூஜ்ஜிய நாள் பாதிப்புகளைக் கண்டறியவும் பயன்படுத்தவும் தேவையான தொழில்நுட்ப நிபுணத்துவம் மற்றும் கருவிகளைக் கொண்டுள்ளனர். இது DarkMe போன்ற மிகவும் அழிவுகரமான மால்வேரைப் பயன்படுத்த அவர்களுக்கு உதவுகிறது, சிக்கலான மற்றும் சக்திவாய்ந்த தாக்குதல்களைச் செயல்படுத்தும் திறனைக் காட்டுகிறது.