DarkMe Malware

Ang isang kamakailang nahayag na kahinaan sa seguridad sa Microsoft Defender SmartScreen ay ginamit bilang isang zero-day exploit ng isang advanced na paulit-ulit na grupo ng pagbabanta na kilala bilang Water Hydra, na kinilala rin bilang DarkCasino. Ang mga pangunahing target ng pag-atake na ito ay ang mga indibidwal na kasangkot sa pangangalakal sa merkado ng pananalapi. Natuklasan ng mga mananaliksik ang nakakahamak na kampanyang ito noong Disyembre 2023.

Sinasamantala ng mga umaatake ang CVE-2024-21412, isang kahinaan sa bypass ng seguridad na nauugnay sa Internet Shortcut Files (.URL). Sa pagkakasunud-sunod ng pag-atake, ginagamit ng banta ng aktor ang CVE-2024-21412 upang iwasan ang Microsoft Defender SmartScreen at ipakilala ang DarkMe malware upang mahawahan ang mga hindi mapag-aalinlanganang biktima.

Mula noon ay tinugunan ng Microsoft ang kahinaang ito sa pag-update nito noong Pebrero Patch Martes. Ayon sa kumpanya, ang isang hindi napatotohanang hacker ay maaaring samantalahin ang kapintasan sa pamamagitan ng pagpapadala ng isang espesyal na ginawang file sa naka-target na user, na nagpapahintulot sa kanila na i-bypass ang mga pagsusuri sa seguridad. Gayunpaman, ang tagumpay ng pagsasamantala ay nakasalalay sa banta ng aktor na kumukumbinsi sa biktima na mag-click sa link ng file at tingnan ang nilalamang kontrolado ng umaatake.

Ang DarkMe Malware ay Na-deploy sa pamamagitan ng Multi-stage Attack Chain

Ipinakikita ng DarkMe ang kakayahan hindi lamang upang mag-download at magsagawa ng mga karagdagang tagubilin kundi pati na rin upang irehistro ang sarili nito sa isang Command-and-Control (C2) server at mangolekta ng impormasyon mula sa nakompromisong system.

Sa panahon ng naobserbahang proseso ng impeksyon, ang pagsasamantala ng CVE-2024-21412 ay ginagamit upang mag-deploy ng nakakapinsalang installer file ('7z.msi'). Ito ay nakakamit sa pamamagitan ng pag-akit sa mga biktima na mag-click sa isang booby-trap na URL ('fxbulls.ru'), na ipinakalat sa pamamagitan ng mga forum ng forex trading. Ang pang-akit ay ipinakita sa ilalim ng pagkukunwari ng pagbabahagi ng isang link sa isang imahe ng stock chart. Gayunpaman, ang aktwal na nilalaman ng link ay isang internet shortcut file ('photo_2023-12-29.jpg.url').

Ang landing page sa 'fxbulls.ru' ay nagtatampok ng link na humahantong sa isang nagbabantang bahagi ng WebDAV na may maingat na ginawang na-filter na view. Kapag nag-click ang mga user sa link na ito, sinenyasan sila ng browser na buksan ito sa Windows Explorer. Kapansin-pansin, hindi ito nagti-trigger ng security prompt, na posibleng humantong sa user na mapansin ang hindi ligtas na katangian ng link.

Ang isang kapansin-pansing aspeto ng scheme na ito ay ang pagsasamantala ng banta ng aktor sa protocol ng paghahanap ng application, na karaniwang ginagamit para sa pagtawag sa desktop search application sa Windows. Ang protocol na ito ay nagamit nang mali sa nakaraan upang maghatid ng malware. Ang matalinong pagmamanipula ng aktor sa protocol na ito ay nagdaragdag ng karagdagang layer ng panlilinlang sa proseso ng impeksyon.

Ang Mga Grupo ng APT (Advanced Persistent Threat) ay Madalas na Nakikinabang sa mga Zero-Day Vulnerabilities

Ang natatanging diskarte na ito sa pagtukoy na ginamit sa DarkMe infection chain ay nagmula sa paggamit ng isang shortcut sa loob ng isa pang shortcut, na napatunayang epektibo sa pag-iwas sa SmartScreen. Sa pagkakataong ito, nabigo ang SmartScreen na naaangkop na ilapat ang Mark of the Web (MotW), isang mahalagang bahagi ng Windows na idinisenyo upang alertuhan ang mga user kapag nagbubukas o nagpapatakbo ng mga file mula sa mga hindi pinagkakatiwalaang pinagmulan.

Ang pinakalayunin ng kampanyang ito ay palihim na maghatid ng Visual Basic Trojan na kilala bilang DarkMe sa background. Kasabay nito, ang kampanya ay nagpapanatili ng isang mapanlinlang na harapan sa pamamagitan ng pagpapakita ng isang stock graph sa biktima, na itinatago ang tunay na katangian ng pagsasamantala at chain ng impeksyon.

Kapansin-pansin na ang mga bagong natuklasang zero-day vulnerabilities, na kadalasang natutukoy ng mga cybercrime group, ay makakahanap ng kanilang paraan sa mga arsenal ng mga grupo ng pag-hack ng bansa-estado. Ang mga sopistikadong attacker na ito, gaya ng Water Hydra, ay nagtataglay ng teknikal na kadalubhasaan at mga tool na kinakailangan upang matuklasan at mapakinabangan ang mga zero-day na kahinaan sa mga advanced na kampanya. Nagbibigay-daan ito sa kanila na mag-deploy ng lubos na mapanirang malware tulad ng DarkMe, na nagpapakita ng kanilang kakayahang magsagawa ng masalimuot at makapangyarihang mga pag-atake.