Phần mềm độc hại DarkMe
Một lỗ hổng bảo mật được tiết lộ gần đây trong Microsoft Defender SmartScreen đã được sử dụng như một cách khai thác zero-day bởi một nhóm đe dọa liên tục nâng cao có tên Water Hydra, còn được xác định là DarkCasino. Mục tiêu chính của cuộc tấn công này là các cá nhân tham gia giao dịch trên thị trường tài chính. Các nhà nghiên cứu đã phát hiện ra chiến dịch độc hại này vào tháng 12 năm 2023.
Những kẻ tấn công đang lợi dụng CVE-2024-21412, một lỗ hổng bảo mật bỏ qua liên quan đến Tệp lối tắt Internet (.URL). Trong chuỗi tấn công, kẻ đe dọa sử dụng CVE-2024-21412 để vượt qua SmartScreen của Microsoft Defender và đưa phần mềm độc hại DarkMe để lây nhiễm cho những nạn nhân không nghi ngờ.
Microsoft đã giải quyết lỗ hổng này trong bản cập nhật Patch Tuesday tháng 2. Theo công ty, một hacker chưa được xác thực có thể lợi dụng lỗ hổng này bằng cách gửi một tệp được tạo đặc biệt cho người dùng mục tiêu, cho phép họ bỏ qua việc kiểm tra bảo mật. Tuy nhiên, sự thành công của việc khai thác phụ thuộc vào việc kẻ đe dọa thuyết phục nạn nhân nhấp vào liên kết tệp và xem nội dung do kẻ tấn công kiểm soát.
Phần mềm độc hại DarkMe được triển khai thông qua Chuỗi tấn công nhiều giai đoạn
DarkMe thể hiện khả năng không chỉ tải xuống và thực hiện các hướng dẫn bổ sung mà còn có thể tự đăng ký với máy chủ Chỉ huy và Kiểm soát (C2) và thu thập thông tin từ hệ thống bị xâm nhập.
Trong quá trình lây nhiễm được quan sát, việc khai thác CVE-2024-21412 được sử dụng để triển khai tệp cài đặt có hại ('7z.msi'). Điều này đạt được bằng cách lôi kéo nạn nhân nhấp vào URL bị bẫy ('fxbulls.ru'), được phổ biến thông qua các diễn đàn giao dịch ngoại hối. Mồi nhử được trình bày dưới chiêu bài chia sẻ liên kết tới hình ảnh biểu đồ chứng khoán. Tuy nhiên, nội dung thực tế của liên kết là một tệp lối tắt internet ('photo_2023-12-29.jpg.url').
Trang đích trên 'fxbulls.ru' có liên kết dẫn đến chia sẻ WebDAV đầy đe dọa với chế độ xem được lọc cẩn thận. Khi người dùng nhấp vào liên kết này, trình duyệt sẽ nhắc họ mở nó trong Windows Explorer. Đáng chú ý, điều này không kích hoạt lời nhắc bảo mật, có khả năng khiến người dùng bỏ qua tính chất không an toàn của liên kết.
Một khía cạnh đáng chú ý của kế hoạch này là việc kẻ đe dọa khai thác giao thức ứng dụng tìm kiếm, thường được sử dụng để gọi ứng dụng tìm kiếm trên máy tính để bàn trên Windows. Giao thức này trước đây đã bị lạm dụng để phát tán phần mềm độc hại. Việc thao túng thông minh của kẻ tấn công đối với giao thức này sẽ tạo thêm một lớp lừa dối bổ sung cho quá trình lây nhiễm.
Các nhóm APT (Mối đe dọa liên tục nâng cao) thường khai thác các lỗ hổng Zero-Day
Cách tiếp cận đặc biệt này để tham chiếu được sử dụng trong chuỗi lây nhiễm DarkMe phát sinh từ việc sử dụng một phím tắt trong một phím tắt khác, điều này đã được chứng minh là có hiệu quả trong việc vượt qua SmartScreen. Trong trường hợp này, SmartScreen không áp dụng thích hợp Mark of the Web (MotW), một thành phần quan trọng của Windows được thiết kế để cảnh báo người dùng khi mở hoặc chạy tệp từ các nguồn không đáng tin cậy.
Mục tiêu cuối cùng của chiến dịch này là lén lút phát tán một Trojan Visual Basic có tên DarkMe ở chế độ nền. Đồng thời, chiến dịch duy trì mặt tiền lừa đảo bằng cách hiển thị biểu đồ chứng khoán cho nạn nhân, che giấu bản chất thực sự của chuỗi khai thác và lây nhiễm.
Đáng chú ý là các lỗ hổng zero-day mới được phát hiện, thường được các nhóm tội phạm mạng xác định, có thể tìm đường xâm nhập vào kho vũ khí của các nhóm hack quốc gia. Những kẻ tấn công tinh vi này, chẳng hạn như Water Hydra, sở hữu chuyên môn kỹ thuật và các công cụ cần thiết để phát hiện và khai thác các lỗ hổng zero-day trong các chiến dịch nâng cao. Điều này cho phép chúng triển khai phần mềm độc hại có sức tàn phá cao như DarkMe, thể hiện khả năng thực hiện các cuộc tấn công phức tạp và mạnh mẽ.
