DarkMe మాల్వేర్

మైక్రోసాఫ్ట్ డిఫెండర్ స్మార్ట్‌స్క్రీన్‌లో ఇటీవల వెల్లడించిన భద్రతా దుర్బలత్వం, డార్క్‌కాసినోగా కూడా గుర్తించబడిన వాటర్ హైడ్రా అని పిలువబడే అధునాతన నిరంతర ముప్పు సమూహం ద్వారా జీరో-డే దోపిడీగా ఉపయోగించబడింది. ఈ దాడి యొక్క ప్రాథమిక లక్ష్యాలు ఫైనాన్షియల్ మార్కెట్ ట్రేడింగ్‌లో పాల్గొన్న వ్యక్తులు. పరిశోధకులు ఈ హానికరమైన ప్రచారాన్ని డిసెంబర్ 2023లో కనుగొన్నారు.

దాడి చేసే వ్యక్తులు CVE-2024-21412 ప్రయోజనాన్ని పొందుతున్నారు, ఇది ఇంటర్నెట్ సత్వరమార్గ ఫైల్‌లతో (.URL) అనుబంధించబడిన భద్రతా బైపాస్ దుర్బలత్వం. దాడి క్రమంలో, బెదిరింపు నటుడు మైక్రోసాఫ్ట్ డిఫెండర్ స్మార్ట్‌స్క్రీన్‌ను తప్పించుకోవడానికి CVE-2024-21412ని ఉపయోగిస్తాడు మరియు అనుమానం లేని బాధితులకు సోకడానికి DarkMe మాల్వేర్‌ను పరిచయం చేస్తాడు.

మైక్రోసాఫ్ట్ తన ఫిబ్రవరి ప్యాచ్ మంగళవారం నవీకరణలో ఈ దుర్బలత్వాన్ని పరిష్కరించింది. కంపెనీ ప్రకారం, ప్రామాణీకరించబడని హ్యాకర్ ప్రత్యేకంగా రూపొందించిన ఫైల్‌ను లక్ష్యంగా చేసుకున్న వినియోగదారుకు పంపడం ద్వారా లోపాన్ని ఉపయోగించుకోవచ్చు, తద్వారా భద్రతా తనిఖీలను దాటవేయవచ్చు. అయితే, దోపిడీ యొక్క విజయం, ఫైల్ లింక్‌పై క్లిక్ చేసి, దాడి చేసే వ్యక్తి ద్వారా నియంత్రించబడే కంటెంట్‌ను వీక్షించేలా బాధితుడిని ఒప్పించడంపై బెదిరింపు నటుడిపై ఆధారపడి ఉంటుంది.

DarkMe మాల్వేర్ బహుళ-దశల దాడి చైన్ ద్వారా అమలు చేయబడుతుంది

DarkMe అదనపు సూచనలను డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం మాత్రమే కాకుండా కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో నమోదు చేసుకోవడం మరియు రాజీపడిన సిస్టమ్ నుండి సమాచారాన్ని సేకరించడం వంటి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.

గమనించిన ఇన్‌ఫెక్షన్ ప్రక్రియలో, హానికరమైన ఇన్‌స్టాలర్ ఫైల్ ('7z.msi')ని అమలు చేయడానికి CVE-2024-21412 యొక్క దోపిడీ ఉపయోగించబడుతుంది. ఫారెక్స్ ట్రేడింగ్ ఫోరమ్‌ల ద్వారా ప్రచారం చేయబడిన బూబీ-ట్రాప్డ్ URL ('fxbulls.ru') పై క్లిక్ చేయడానికి బాధితులను ప్రలోభపెట్టడం ద్వారా ఇది సాధించబడుతుంది. స్టాక్ చార్ట్ ఇమేజ్‌కి లింక్‌ను భాగస్వామ్యం చేసే ముసుగులో ఎర ప్రదర్శించబడుతుంది. అయితే, లింక్ యొక్క వాస్తవ కంటెంట్ ఇంటర్నెట్ షార్ట్‌కట్ ఫైల్ ('photo_2023-12-29.jpg.url').

'fxbulls.ru'లోని ల్యాండింగ్ పేజీ జాగ్రత్తగా రూపొందించబడిన ఫిల్టర్ వీక్షణతో బెదిరింపు WebDAV షేర్‌కి దారితీసే లింక్‌ను కలిగి ఉంది. వినియోగదారులు ఈ లింక్‌పై క్లిక్ చేసినప్పుడు, విండోస్ ఎక్స్‌ప్లోరర్‌లో దీన్ని తెరవమని బ్రౌజర్ వారిని అడుగుతుంది. ముఖ్యంగా, ఇది భద్రతా ప్రాంప్ట్‌ను ట్రిగ్గర్ చేయదు, లింక్ యొక్క అసురక్షిత స్వభావాన్ని విస్మరించడానికి వినియోగదారుని సంభావ్యంగా దారి తీస్తుంది.

విండోస్‌లో డెస్క్‌టాప్ సెర్చ్ అప్లికేషన్‌కి కాల్ చేయడానికి సాధారణంగా ఉపయోగించే శోధన అప్లికేషన్ ప్రోటోకాల్‌ను బెదిరింపు నటుడు దోపిడీ చేయడం ఈ పథకం యొక్క ముఖ్యమైన అంశం. ఈ ప్రోటోకాల్ గతంలో మాల్వేర్ డెలివరీ చేయడానికి దుర్వినియోగం చేయబడింది. ఈ ప్రోటోకాల్ యొక్క నటుడి యొక్క తెలివైన తారుమారు సంక్రమణ ప్రక్రియకు మోసపూరితమైన అదనపు పొరను జోడిస్తుంది.

APT (అధునాతన పెర్సిస్టెంట్ థ్రెట్) సమూహాలు తరచుగా జీరో-డే దుర్బలత్వాలను ఉపయోగించుకుంటాయి

DarkMe ఇన్‌ఫెక్షన్ చైన్‌లో ఉపయోగించబడే ఈ విలక్షణమైన విధానం స్మార్ట్‌స్క్రీన్‌ను తప్పించుకోవడంలో ప్రభావవంతంగా నిరూపించబడిన మరొక షార్ట్‌కట్‌లోని షార్ట్‌కట్‌ని ఉపయోగించడం ద్వారా ఉత్పన్నమవుతుంది. ఈ సందర్భంలో, స్మార్ట్‌స్క్రీన్ మార్క్ ఆఫ్ ది వెబ్ (MotW)ని సముచితంగా వర్తింపజేయడంలో విఫలమవుతుంది, ఇది నమ్మదగని మూలాల నుండి ఫైల్‌లను తెరిచేటప్పుడు లేదా రన్ చేస్తున్నప్పుడు వినియోగదారులను అప్రమత్తం చేయడానికి రూపొందించబడిన కీలకమైన Windows భాగం.

ఈ ప్రచారం యొక్క అంతిమ లక్ష్యం నేపథ్యంలో డార్క్‌మీ అని పిలువబడే విజువల్ బేసిక్ ట్రోజన్‌ను రహస్యంగా పంపిణీ చేయడం. అదే సమయంలో, ప్రచారం బాధితుడికి స్టాక్ గ్రాఫ్‌ను ప్రదర్శించడం ద్వారా మోసపూరిత ముఖభాగాన్ని నిర్వహిస్తుంది, దోపిడీ మరియు ఇన్ఫెక్షన్ గొలుసు యొక్క నిజమైన స్వభావాన్ని దాచిపెడుతుంది.

కొత్తగా కనుగొనబడిన జీరో-డే దుర్బలత్వాలు, తరచుగా సైబర్‌క్రైమ్ గ్రూపులచే గుర్తించబడతాయి, జాతీయ-రాష్ట్ర హ్యాకింగ్ గ్రూపుల ఆయుధశాలలలోకి ప్రవేశించవచ్చు. వాటర్ హైడ్రా వంటి ఈ అధునాతన దాడి చేసేవారు, అధునాతన ప్రచారాలలో జీరో-డే దుర్బలత్వాలను వెలికితీసేందుకు మరియు దోపిడీ చేయడానికి అవసరమైన సాంకేతిక నైపుణ్యం మరియు సాధనాలను కలిగి ఉన్నారు. ఇది డార్క్‌మీ వంటి అత్యంత విధ్వంసక మాల్వేర్‌ను అమలు చేయడానికి వారిని అనుమతిస్తుంది, క్లిష్టమైన మరియు శక్తివంతమైన దాడులను అమలు చేయగల వారి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.