DarkMe 恶意软件

最近披露的 Microsoft Defender SmartScreen 中的一个安全漏洞已被名为 Water Hydra（也称为 DarkCasino）的高级持续威胁组织用作零日攻击。此次攻击的主要目标是参与金融市场交易的个人。研究人员于 2023 年 12 月发现了这一恶意活动。

攻击者正在利用 CVE-2024-21412，这是一个与 Internet 快捷方式文件 (.URL) 相关的安全绕过漏洞。在攻击序列中，威胁行为者利用 CVE-2024-21412 绕过 Microsoft Defender SmartScreen 并引入 DarkMe 恶意软件来感染毫无戒心的受害者。

此后，微软在二月份的补丁星期二更新中解决了这个漏洞。该公司表示，未经身份验证的黑客可以利用该缺陷，向目标用户发送特制文件，从而绕过安全检查。然而，利用的成功取决于威胁行为者说服受害者单击文件链接并查看攻击者控制的内容。

DarkMe 恶意软件通过多阶段攻击链部署

DarkMe 不仅能够下载和执行附加指令，还能向命令与控制 (C2) 服务器注册并从受感染的系统收集信息。

在观察到的感染过程中，利用 CVE-2024-21412 的漏洞来部署有害的安装程序文件（“7z.msi”）。这是通过诱使受害者点击通过外汇交易论坛传播的诱杀 URL（“fxbulls.ru”）来实现的。该诱惑以共享股票图表图像的链接为幌子。然而，该链接的实际内容是一个互联网快捷方式文件（“photo_2023-12-29.jpg.url”）。

“fxbulls.ru”上的登陆页面有一个链接，可通往具有威胁性的 WebDAV 共享，并带有精心设计的过滤视图。当用户单击此链接时，浏览器会提示他们在 Windows 资源管理器中打开它。值得注意的是，这不会触发安全提示，可能导致用户忽视链接的不安全性质。

该方案的一个值得注意的方面是威胁行为者对搜索应用程序协议的利用，该协议通常用于调用 Windows 上的桌面搜索应用程序。该协议过去曾被滥用来传播恶意软件。攻击者对该协议的巧妙操纵为感染过程增加了一层额外的欺骗。

APT（高级持续威胁）组织经常利用零日漏洞

DarkMe 感染链中使用的这种独特的引用方法源于在另一个快捷方式中使用快捷方式，这已被证明可以有效规避 SmartScreen。在这种情况下，SmartScreen 无法正确应用 Web 标记 (MotW)，这是一个重要的 Windows 组件，旨在在打开或运行来自不受信任来源的文件时向用户发出警报。

此活动的最终目标是在后台秘密传播名为 DarkMe 的 Visual Basic 特洛伊木马。同时，该活动通过向受害者展示股票图表来维持欺骗性的外观，掩盖了剥削和感染链的真实性质。

值得注意的是，新发现的零日漏洞（通常由网络犯罪组织识别）可能会进入民族国家黑客组织的武器库。这些经验丰富的攻击者（例如 Water Hydra）拥有发现和利用高级活动中的零日漏洞所需的技术专业知识和工具。这使他们能够部署像 DarkMe 这样具有高度破坏性的恶意软件，展示他们执行复杂而有力的攻击的能力。