DarkMe Malware udnytter kendt sårbarhed

En nylig afsløret sikkerhedssårbarhed i Microsoft Defender SmartScreen er blevet udnyttet som et zero-day angreb af en avanceret vedvarende trussel aktør ved navn Water Hydra, også kendt som DarkCasino. Målene for denne kampagne er personer involveret i handel med finansielle markeder.

Forskere, der påbegyndte sporing af denne kampagne i slutningen af december 2023, afslørede, at udnyttelsen involverer CVE-2024-21412, en sikkerhedsomgåelsessårbarhed relateret til internetgenvejsfiler (.URL). Ifølge en rapport udgivet tirsdag af cybersikkerhedsfirmaet brugte trusselsaktøren CVE-2024-21412 til at omgå Microsoft Defender SmartScreen og introducere DarkMe-malwaren til ofrene.

Microsoft løste denne fejl i sin februar Patch Tuesday-opdatering og anerkendte, at en uautoriseret angriber kunne drage fordel af sårbarheden ved at sende en specielt udformet fil til den målrettede bruger og derved omgå sikkerhedstjek.

DarkMe distribueret gennem ondsindet MSI Installer

Succesen med udnyttelsen afhænger af, at trusselsaktøren overbeviser offeret til at klikke på fillinket og se det angriberkontrollerede indhold. Forskere skitserede infektionsprocessen og beskrev, hvordan CVE-2024-21412 udnyttes til at slippe en ondsindet installationsfil ("7z.msi") gennem en booby-fanget URL ("fxbulls.ru") distribueret på forex trading fora under dække af deling af et link til et aktiediagrambillede, som faktisk er en internetgenvejsfil ("photo_2023-12-29.jpg.url").

Landingssiden på fxbulls.ru indeholder et link til en ondsindet WebDAV-deling med en omhyggeligt udformet visning. Når brugere klikker på dette link, beder browseren dem om at åbne linket i Windows Stifinder, hvilket skaber et vildledende udseende af ikke-ondsindet aktivitet.

Trusselsaktøren manipulerer søgningen: applikationsprotokol, der bruges til at kalde desktopsøgeapplikationen på Windows, for at levere malwaren. Den ondsindede internetgenvejsfil peger på en anden internetgenvejsfil, der er hostet på en ekstern server ("2.url"), som igen peger på et CMD shell-script i et ZIP-arkiv på den samme server ("a2.zip/a2 .cmd").

Denne ukonventionelle referencemetode har til formål at undgå SmartScreen, som ikke korrekt anvender Mark of the Web (MotW), en afgørende Windows-komponent, der advarer brugere, når de åbner eller kører filer fra en kilde, der ikke er tillid til.

Det ultimative mål med kampagnen er i det skjulte at levere DarkMe Visual Basic-trojaneren, mens den viser en aktiegraf til offeret, og vedligeholder bedraget under hele udnyttelses- og infektionsprocessen. DarkMe besidder evner til at downloade og udføre yderligere instruktioner, registrere sig selv med en kommando-og-kontrol-server (C2) og indsamle information fra det kompromitterede system.