มัลแวร์ DarkMe

ช่องโหว่ด้านความปลอดภัยที่เปิดเผยเมื่อเร็วๆ นี้ใน Microsoft Defender SmartScreen ถูกใช้เป็นการแสวงหาประโยชน์แบบ Zero-day โดยกลุ่มภัยคุกคามขั้นสูงแบบถาวรที่เรียกว่า Water Hydra หรือที่เรียกว่า DarkCasino เป้าหมายหลักของการโจมตีนี้คือบุคคลที่เกี่ยวข้องกับการซื้อขายในตลาดการเงิน นักวิจัยค้นพบแคมเปญที่เป็นอันตรายนี้ในเดือนธันวาคม 2023

ผู้โจมตีกำลังใช้ประโยชน์จาก CVE-2024-21412 ซึ่งเป็นช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับ Internet Shortcut Files (.URL) ในลำดับการโจมตี ผู้คุกคามใช้ CVE-2024-21412 เพื่อหลีกเลี่ยง Microsoft Defender SmartScreen และแนะนำมัลแวร์ DarkMe เพื่อแพร่เชื้อไปยังเหยื่อที่ไม่สงสัย

ตั้งแต่นั้นเป็นต้นมา Microsoft ได้แก้ไขช่องโหว่นี้ในการอัพเดต Patch Tuesday ประจำเดือนกุมภาพันธ์ จากข้อมูลของบริษัท แฮกเกอร์ที่ไม่ได้รับการรับรองความถูกต้องสามารถใช้ประโยชน์จากข้อบกพร่องดังกล่าวได้โดยการส่งไฟล์ที่สร้างขึ้นเป็นพิเศษไปยังผู้ใช้เป้าหมาย ทำให้พวกเขาข้ามการตรวจสอบความปลอดภัยได้ อย่างไรก็ตาม ความสำเร็จของการแสวงหาประโยชน์นั้นขึ้นอยู่กับผู้คุกคามที่โน้มน้าวให้เหยื่อคลิกลิงก์ไฟล์และดูเนื้อหาที่ควบคุมโดยผู้โจมตี

มัลแวร์ DarkMe ถูกปรับใช้ผ่านห่วงโซ่การโจมตีแบบหลายขั้นตอน

DarkMe ไม่เพียงแต่แสดงความสามารถในการดาวน์โหลดและดำเนินการตามคำสั่งเพิ่มเติมเท่านั้น แต่ยังรวมถึงการลงทะเบียนตัวเองกับเซิร์ฟเวอร์ Command-and-Control (C2) และรวบรวมข้อมูลจากระบบที่ถูกบุกรุกอีกด้วย

ในระหว่างกระบวนการติดไวรัสที่สังเกตได้ จะมีการใช้ประโยชน์จาก CVE-2024-21412 เพื่อปรับใช้ไฟล์ตัวติดตั้งที่เป็นอันตราย ('7z.msi') สิ่งนี้สามารถทำได้โดยการล่อลวงให้เหยื่อคลิกที่ URL ที่ติดกับดัก ('fxbulls.ru') ซึ่งเผยแพร่ผ่านฟอรัมการซื้อขายฟอเร็กซ์ สิ่งล่อใจถูกนำเสนอภายใต้หน้ากากของการแชร์ลิงก์ไปยังภาพแผนภูมิหุ้น อย่างไรก็ตาม เนื้อหาจริงของลิงก์นี้เป็นไฟล์ทางลัดอินเทอร์เน็ต ('photo_2023-12-29.jpg.url')

หน้า Landing Page บน 'fxbulls.ru' มีลิงก์ที่นำไปสู่การแบ่งปัน WebDAV ที่เป็นอันตรายพร้อมมุมมองที่ผ่านการกรองที่สร้างขึ้นมาอย่างพิถีพิถัน เมื่อผู้ใช้คลิกที่ลิงค์นี้ เบราว์เซอร์จะแจ้งให้เปิดใน Windows Explorer โดยเฉพาะอย่างยิ่ง สิ่งนี้ไม่ได้กระตุ้นให้เกิดการแจ้งเตือนด้านความปลอดภัย ซึ่งอาจทำให้ผู้ใช้มองข้ามลักษณะที่ไม่ปลอดภัยของลิงก์

ลักษณะที่น่าสังเกตของโครงการนี้คือการใช้ประโยชน์จากโปรโตคอลแอปพลิเคชันการค้นหาของผู้คุกคาม ซึ่งมักใช้ในการเรียกแอปพลิเคชันการค้นหาเดสก์ท็อปบน Windows โปรโตคอลนี้ถูกใช้ในทางที่ผิดในอดีตเพื่อส่งมัลแวร์ การจัดการอย่างชาญฉลาดของนักแสดงต่อโปรโตคอลนี้ช่วยเพิ่มการหลอกลวงอีกขั้นให้กับกระบวนการติดเชื้อ

กลุ่ม APT (Advanced Persistent Threat) มักจะใช้ประโยชน์จากช่องโหว่ Zero-Day

แนวทางที่โดดเด่นในการอ้างอิงที่ใช้ในห่วงโซ่การติดไวรัส DarkMe นี้เกิดขึ้นจากการใช้ทางลัดภายในทางลัดอื่น ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพในการหลีกเลี่ยง SmartScreen ในกรณีนี้ SmartScreen ล้มเหลวในการใช้ Mark of the Web (MotW) ซึ่งเป็นส่วนประกอบสำคัญของ Windows ที่ออกแบบมาเพื่อแจ้งเตือนผู้ใช้เมื่อเปิดหรือเรียกใช้ไฟล์จากแหล่งที่ไม่น่าเชื่อถือ

วัตถุประสงค์สูงสุดของแคมเปญนี้คือการส่งโทรจัน Visual Basic ที่รู้จักกันในชื่อ DarkMe อยู่เบื้องหลังอย่างลับๆ ในขณะเดียวกัน การรณรงค์ยังคงรักษาส่วนหน้าที่หลอกลวงโดยการแสดงกราฟหุ้นให้เหยื่อเห็น โดยปกปิดลักษณะที่แท้จริงของการแสวงหาผลประโยชน์และห่วงโซ่การติดเชื้อ

เป็นที่น่าสังเกตว่าช่องโหว่แบบ Zero-day ที่เพิ่งค้นพบ ซึ่งมักระบุโดยกลุ่มอาชญากรรมไซเบอร์ สามารถค้นหาทางเข้าสู่คลังแสงของกลุ่มแฮ็กระดับประเทศได้ ผู้โจมตีที่มีความซับซ้อนเหล่านี้ เช่น Water Hydra มีความเชี่ยวชาญด้านเทคนิคและเครื่องมือที่จำเป็นในการเปิดเผยและใช้ประโยชน์จากช่องโหว่แบบซีโรเดย์ในแคมเปญขั้นสูง สิ่งนี้ทำให้พวกเขาสามารถติดตั้งมัลแวร์ที่มีการทำลายล้างสูงอย่าง DarkMe ได้ ซึ่งแสดงให้เห็นถึงความสามารถในการดำเนินการโจมตีที่ซับซ้อนและทรงพลัง