Шкідливе програмне забезпечення DarkMe
Нещодавно виявлену вразливість безпеки в Microsoft Defender SmartScreen використала як експлойт нульового дня передовою групою постійних загроз, відомою як Water Hydra, також визначену як DarkCasino. Основними цілями цієї атаки є особи, які беруть участь у торгівлі на фінансовому ринку. Дослідники виявили цю шкідливу кампанію в грудні 2023 року.
Зловмисники використовують CVE-2024-21412, вразливість системи безпеки, пов’язану з файлами ярликів Інтернету (.URL). У послідовності атаки зловмисник використовує CVE-2024-21412, щоб обійти Microsoft Defender SmartScreen і ввести зловмисне програмне забезпечення DarkMe для зараження нічого не підозрюючих жертв.
Відтоді Microsoft усунула цю вразливість у лютневому оновленні Patch Tuesday. За словами компанії, неавтентифікований хакер може скористатися недоліком, переславши спеціально створений файл цільовому користувачеві, дозволяючи йому обійти перевірку безпеки. Однак успіх експлуатації залежить від того, чи зловмисник переконає жертву натиснути посилання на файл і переглянути вміст, яким керує зловмисник.
Зловмисне програмне забезпечення DarkMe розгортається за допомогою багатоетапної ланцюжка атак
DarkMe демонструє здатність не лише завантажувати та виконувати додаткові інструкції, але й реєструватися на сервері командування та керування (C2) і збирати інформацію зі зламаної системи.
Під час спостережуваного процесу зараження використовується експлойт CVE-2024-21412 для розгортання шкідливого файлу інсталятора ('7z.msi'). Це досягається шляхом спонукання жертв клацнути на міновану URL-адресу ("fxbulls.ru"), яка поширюється на форумах для торгівлі валютою. Приманка представлена під виглядом поширення посилання на зображення біржової діаграми. Однак фактичний вміст посилання є файлом ярлика Інтернету ('photo_2023-12-29.jpg.url').
На цільовій сторінці fxbulls.ru є посилання, яке веде до загрозливого спільного доступу WebDAV із ретельно створеним відфільтрованим переглядом. Коли користувач натискає це посилання, браузер пропонує відкрити його в Провіднику Windows. Примітно, що це не викликає підказки системи безпеки, потенційно змушуючи користувача не помітити небезпечний характер посилання.
Важливим аспектом цієї схеми є використання зловмисником протоколу програми пошуку, який зазвичай використовується для виклику програми пошуку на робочому столі в Windows. Раніше цим протоколом зловживали для доставки шкідливих програм. Розумна маніпуляція актором цим протоколом додає до процесу зараження додатковий рівень обману.
Групи APT (Advanced Persistent Threat) часто використовують уразливості Zero-Day
Цей особливий підхід до посилань, який використовується в ланцюжку зараження DarkMe, виникає внаслідок використання ярлика в іншому ярлику, який виявився ефективним для обходу SmartScreen. У цьому випадку SmartScreen не може належним чином застосувати позначку Інтернету (MotW), важливий компонент Windows, призначений для сповіщення користувачів про відкриття або запуск файлів із ненадійних джерел.
Кінцева мета цієї кампанії — таємно доставити у фоновому режимі трояна Visual Basic, відомого як DarkMe. Одночасно кампанія підтримує оманливий фасад, показуючи жертві біржовий графік, приховуючи справжню природу ланцюга експлуатації та зараження.
Варто зазначити, що нещодавно виявлені вразливості нульового дня, які часто виявляють групи кіберзлочинців, можуть потрапити в арсенали хакерських груп національних держав. Ці досвідчені зловмисники, такі як Water Hydra, володіють технічними знаннями та інструментами, необхідними для виявлення та використання вразливостей нульового дня в просунутих кампаніях. Це дозволяє їм розгортати дуже руйнівне шкідливе програмне забезпечення, таке як DarkMe, демонструючи свою здатність виконувати складні та потужні атаки.
