DarkMe మాల్వేర్
మైక్రోసాఫ్ట్ డిఫెండర్ స్మార్ట్స్క్రీన్లో ఇటీవల వెల్లడించిన భద్రతా దుర్బలత్వం, డార్క్కాసినోగా కూడా గుర్తించబడిన వాటర్ హైడ్రా అని పిలువబడే అధునాతన నిరంతర ముప్పు సమూహం ద్వారా జీరో-డే దోపిడీగా ఉపయోగించబడింది. ఈ దాడి యొక్క ప్రాథమిక లక్ష్యాలు ఫైనాన్షియల్ మార్కెట్ ట్రేడింగ్లో పాల్గొన్న వ్యక్తులు. పరిశోధకులు ఈ హానికరమైన ప్రచారాన్ని డిసెంబర్ 2023లో కనుగొన్నారు.
దాడి చేసే వ్యక్తులు CVE-2024-21412 ప్రయోజనాన్ని పొందుతున్నారు, ఇది ఇంటర్నెట్ సత్వరమార్గ ఫైల్లతో (.URL) అనుబంధించబడిన భద్రతా బైపాస్ దుర్బలత్వం. దాడి క్రమంలో, బెదిరింపు నటుడు మైక్రోసాఫ్ట్ డిఫెండర్ స్మార్ట్స్క్రీన్ను తప్పించుకోవడానికి CVE-2024-21412ని ఉపయోగిస్తాడు మరియు అనుమానం లేని బాధితులకు సోకడానికి DarkMe మాల్వేర్ను పరిచయం చేస్తాడు.
మైక్రోసాఫ్ట్ తన ఫిబ్రవరి ప్యాచ్ మంగళవారం నవీకరణలో ఈ దుర్బలత్వాన్ని పరిష్కరించింది. కంపెనీ ప్రకారం, ప్రామాణీకరించబడని హ్యాకర్ ప్రత్యేకంగా రూపొందించిన ఫైల్ను లక్ష్యంగా చేసుకున్న వినియోగదారుకు పంపడం ద్వారా లోపాన్ని ఉపయోగించుకోవచ్చు, తద్వారా భద్రతా తనిఖీలను దాటవేయవచ్చు. అయితే, దోపిడీ యొక్క విజయం, ఫైల్ లింక్పై క్లిక్ చేసి, దాడి చేసే వ్యక్తి ద్వారా నియంత్రించబడే కంటెంట్ను వీక్షించేలా బాధితుడిని ఒప్పించడంపై బెదిరింపు నటుడిపై ఆధారపడి ఉంటుంది.
DarkMe మాల్వేర్ బహుళ-దశల దాడి చైన్ ద్వారా అమలు చేయబడుతుంది
DarkMe అదనపు సూచనలను డౌన్లోడ్ చేయడం మరియు అమలు చేయడం మాత్రమే కాకుండా కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో నమోదు చేసుకోవడం మరియు రాజీపడిన సిస్టమ్ నుండి సమాచారాన్ని సేకరించడం వంటి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.
గమనించిన ఇన్ఫెక్షన్ ప్రక్రియలో, హానికరమైన ఇన్స్టాలర్ ఫైల్ ('7z.msi')ని అమలు చేయడానికి CVE-2024-21412 యొక్క దోపిడీ ఉపయోగించబడుతుంది. ఫారెక్స్ ట్రేడింగ్ ఫోరమ్ల ద్వారా ప్రచారం చేయబడిన బూబీ-ట్రాప్డ్ URL ('fxbulls.ru') పై క్లిక్ చేయడానికి బాధితులను ప్రలోభపెట్టడం ద్వారా ఇది సాధించబడుతుంది. స్టాక్ చార్ట్ ఇమేజ్కి లింక్ను భాగస్వామ్యం చేసే ముసుగులో ఎర ప్రదర్శించబడుతుంది. అయితే, లింక్ యొక్క వాస్తవ కంటెంట్ ఇంటర్నెట్ షార్ట్కట్ ఫైల్ ('photo_2023-12-29.jpg.url').
'fxbulls.ru'లోని ల్యాండింగ్ పేజీ జాగ్రత్తగా రూపొందించబడిన ఫిల్టర్ వీక్షణతో బెదిరింపు WebDAV షేర్కి దారితీసే లింక్ను కలిగి ఉంది. వినియోగదారులు ఈ లింక్పై క్లిక్ చేసినప్పుడు, విండోస్ ఎక్స్ప్లోరర్లో దీన్ని తెరవమని బ్రౌజర్ వారిని అడుగుతుంది. ముఖ్యంగా, ఇది భద్రతా ప్రాంప్ట్ను ట్రిగ్గర్ చేయదు, లింక్ యొక్క అసురక్షిత స్వభావాన్ని విస్మరించడానికి వినియోగదారుని సంభావ్యంగా దారి తీస్తుంది.
విండోస్లో డెస్క్టాప్ సెర్చ్ అప్లికేషన్కి కాల్ చేయడానికి సాధారణంగా ఉపయోగించే శోధన అప్లికేషన్ ప్రోటోకాల్ను బెదిరింపు నటుడు దోపిడీ చేయడం ఈ పథకం యొక్క ముఖ్యమైన అంశం. ఈ ప్రోటోకాల్ గతంలో మాల్వేర్ డెలివరీ చేయడానికి దుర్వినియోగం చేయబడింది. ఈ ప్రోటోకాల్ యొక్క నటుడి యొక్క తెలివైన తారుమారు సంక్రమణ ప్రక్రియకు మోసపూరితమైన అదనపు పొరను జోడిస్తుంది.
APT (అధునాతన పెర్సిస్టెంట్ థ్రెట్) సమూహాలు తరచుగా జీరో-డే దుర్బలత్వాలను ఉపయోగించుకుంటాయి
DarkMe ఇన్ఫెక్షన్ చైన్లో ఉపయోగించబడే ఈ విలక్షణమైన విధానం స్మార్ట్స్క్రీన్ను తప్పించుకోవడంలో ప్రభావవంతంగా నిరూపించబడిన మరొక షార్ట్కట్లోని షార్ట్కట్ని ఉపయోగించడం ద్వారా ఉత్పన్నమవుతుంది. ఈ సందర్భంలో, స్మార్ట్స్క్రీన్ మార్క్ ఆఫ్ ది వెబ్ (MotW)ని సముచితంగా వర్తింపజేయడంలో విఫలమవుతుంది, ఇది నమ్మదగని మూలాల నుండి ఫైల్లను తెరిచేటప్పుడు లేదా రన్ చేస్తున్నప్పుడు వినియోగదారులను అప్రమత్తం చేయడానికి రూపొందించబడిన కీలకమైన Windows భాగం.
ఈ ప్రచారం యొక్క అంతిమ లక్ష్యం నేపథ్యంలో డార్క్మీ అని పిలువబడే విజువల్ బేసిక్ ట్రోజన్ను రహస్యంగా పంపిణీ చేయడం. అదే సమయంలో, ప్రచారం బాధితుడికి స్టాక్ గ్రాఫ్ను ప్రదర్శించడం ద్వారా మోసపూరిత ముఖభాగాన్ని నిర్వహిస్తుంది, దోపిడీ మరియు ఇన్ఫెక్షన్ గొలుసు యొక్క నిజమైన స్వభావాన్ని దాచిపెడుతుంది.
కొత్తగా కనుగొనబడిన జీరో-డే దుర్బలత్వాలు, తరచుగా సైబర్క్రైమ్ గ్రూపులచే గుర్తించబడతాయి, జాతీయ-రాష్ట్ర హ్యాకింగ్ గ్రూపుల ఆయుధశాలలలోకి ప్రవేశించవచ్చు. వాటర్ హైడ్రా వంటి ఈ అధునాతన దాడి చేసేవారు, అధునాతన ప్రచారాలలో జీరో-డే దుర్బలత్వాలను వెలికితీసేందుకు మరియు దోపిడీ చేయడానికి అవసరమైన సాంకేతిక నైపుణ్యం మరియు సాధనాలను కలిగి ఉన్నారు. ఇది డార్క్మీ వంటి అత్యంత విధ్వంసక మాల్వేర్ను అమలు చేయడానికి వారిని అనుమతిస్తుంది, క్లిష్టమైన మరియు శక్తివంతమైన దాడులను అమలు చేయగల వారి సామర్థ్యాన్ని ప్రదర్శిస్తుంది.