DarkMe Kötü Amaçlı Yazılım
Microsoft Defender SmartScreen'de yakın zamanda ortaya çıkan bir güvenlik açığı, DarkCasino olarak da tanımlanan Water Hydra olarak bilinen gelişmiş bir kalıcı tehdit grubu tarafından sıfır gün istismarı olarak kullanıldı. Bu saldırının birincil hedefleri finansal piyasalarda ticaret yapan kişilerdir. Araştırmacılar bu kötü niyetli kampanyayı Aralık 2023'te keşfettiler.
Saldırganlar, İnternet Kısayol Dosyaları (.URL) ile ilişkili bir güvenlik atlama güvenlik açığı olan CVE-2024-21412'den yararlanıyor. Saldırı sırasında tehdit aktörü, Microsoft Defender SmartScreen'i atlatmak ve şüphelenmeyen kurbanlara bulaşmak üzere DarkMe kötü amaçlı yazılımını tanıtmak için CVE-2024-21412'yi kullanıyor.
Microsoft o zamandan beri Şubat Yaması Salı güncellemesinde bu güvenlik açığını giderdi. Şirkete göre, kimliği doğrulanmamış bir bilgisayar korsanı, hedeflenen kullanıcıya özel hazırlanmış bir dosya göndererek güvenlik kontrollerini atlamasına olanak tanıyarak bu kusurdan yararlanabilir. Ancak istismarın başarısı, tehdit aktörünün kurbanı dosya bağlantısına tıklayıp saldırgan tarafından kontrol edilen içeriği görüntülemeye ikna etmesine bağlıdır.
DarkMe Kötü Amaçlı Yazılımı Çok Aşamalı Saldırı Zinciri Aracılığıyla Dağıtılıyor
DarkMe yalnızca ek talimatları indirip yürütme değil, aynı zamanda kendisini bir Komuta ve Kontrol (C2) sunucusuna kaydettirme ve ele geçirilen sistemden bilgi toplama yeteneğini de sergiliyor.
Gözlemlenen bulaşma süreci sırasında, zararlı bir yükleyici dosyasını ('7z.msi') dağıtmak için CVE-2024-21412'den yararlanılıyor. Bu, mağdurları forex ticaret forumları aracılığıyla yayılan bubi tuzaklı bir URL'ye ('fxbulls.ru') tıklamaya ikna ederek elde ediliyor. Yem, bir hisse senedi grafik görseline bağlantı paylaşma kisvesi altında sunuluyor. Ancak bağlantının asıl içeriği bir internet kısayol dosyasıdır ('photo_2023-12-29.jpg.url').
'fxbulls.ru'daki açılış sayfasında, özenle hazırlanmış filtrelenmiş bir görünüme sahip, tehditkar bir WebDAV paylaşımına yönlendiren bir bağlantı bulunmaktadır. Kullanıcılar bu bağlantıya tıkladıklarında, tarayıcı onlardan bu bağlantıyı Windows Gezgini'nde açmalarını ister. Özellikle, bu bir güvenlik istemini tetiklemez ve potansiyel olarak kullanıcının bağlantının güvensiz yapısını gözden kaçırmasına neden olur.
Bu planın dikkate değer bir yönü, tehdit aktörünün, Windows'ta masaüstü arama uygulamasını çağırmak için yaygın olarak kullanılan arama uygulaması protokolünü kullanmasıdır. Bu protokol geçmişte kötü amaçlı yazılım dağıtmak için kötüye kullanılmıştı. Aktörün bu protokolü akıllıca kullanması, enfeksiyon sürecine ek bir aldatma katmanı ekler.
APT (Gelişmiş Kalıcı Tehdit) Grupları Çoğunlukla Sıfır Gün Güvenlik Açıklarından Yararlanıyor
DarkMe enfeksiyon zincirinde kullanılan referanslamaya yönelik bu farklı yaklaşım, SmartScreen'in atlatılmasında etkili olduğu kanıtlanmış olan başka bir kısayol içindeki bir kısayolun kullanılmasından kaynaklanmaktadır. Bu durumda SmartScreen, güvenilmeyen kaynaklardan dosya açarken veya çalıştırırken kullanıcıları uyarmak için tasarlanmış önemli bir Windows bileşeni olan Web İşareti'ni (MotW) uygun şekilde uygulayamaz.
Bu kampanyanın nihai hedefi, DarkMe olarak bilinen bir Visual Basic Truva atını arka planda gizlice dağıtmaktır. Eş zamanlı olarak kampanya, mağdura bir stok grafiği göstererek sömürü ve enfeksiyon zincirinin gerçek doğasını gizleyerek aldatıcı bir görünüm sürdürüyor.
Genellikle siber suç grupları tarafından tespit edilen yeni keşfedilen sıfır gün güvenlik açıklarının, ulus devlet hack gruplarının cephaneliklerine kadar ulaşabilmesi dikkat çekicidir. Water Hydra gibi bu gelişmiş saldırganlar, gelişmiş saldırılarda sıfır gün güvenlik açıklarını ortaya çıkarmak ve bunlardan yararlanmak için gereken teknik uzmanlığa ve araçlara sahiptir. Bu onların karmaşık ve güçlü saldırılar gerçekleştirme yeteneklerini sergileyerek DarkMe gibi son derece yıkıcı kötü amaçlı yazılımları dağıtmalarına olanak tanıyor.
