DarkMe-Malware nutzt bekannte Sicherheitslücke aus

Eine kürzlich entdeckte Sicherheitslücke in Microsoft Defender SmartScreen wurde von einem fortgeschrittenen Bedrohungsakteur namens Water Hydra, auch bekannt als DarkCasino, als Zero-Day-Angriff ausgenutzt. Zielgruppe dieser Kampagne sind Einzelpersonen, die am Finanzmarkthandel beteiligt sind.

Forscher, die Ende Dezember 2023 mit der Verfolgung dieser Kampagne begannen, gaben bekannt, dass es sich bei dem Exploit um CVE-2024-21412 handelt, eine Sicherheitslücke im Zusammenhang mit Internet Shortcut Files (.URL). Laut einem am Dienstag von der Cybersicherheitsfirma veröffentlichten Bericht nutzte der Bedrohungsakteur CVE-2024-21412, um Microsoft Defender SmartScreen zu umgehen und den Opfern die DarkMe-Malware einzuschleusen.

Microsoft hat diesen Fehler in seinem Februar-Patch-Tuesday-Update behoben und eingeräumt, dass ein nicht autorisierter Angreifer die Sicherheitslücke ausnutzen könnte, indem er eine speziell gestaltete Datei an den Zielbenutzer sendet und so Sicherheitsüberprüfungen umgeht.

DarkMe wird über ein bösartiges MSI-Installationsprogramm verbreitet

Der Erfolg der Ausnutzung hängt davon ab, dass der Bedrohungsakteur das Opfer davon überzeugt, auf den Dateilink zu klicken und den vom Angreifer kontrollierten Inhalt anzuzeigen. Die Forscher skizzierten den Infektionsprozess und erläuterten detailliert, wie CVE-2024-21412 ausgenutzt wird, um eine schädliche Installationsdatei („7z.msi“) über eine mit Sprengfallen versehene URL („fxbulls.ru“) abzulegen, die unter dem Deckmantel in Forex-Handelsforen verbreitet wird Teilen eines Links zu einem Aktiendiagrammbild, bei dem es sich eigentlich um eine Internet-Verknüpfungsdatei handelt („photo_2023-12-29.jpg.url“).

Die Zielseite auf fxbulls.ru enthält einen Link zu einer schädlichen WebDAV-Freigabe mit einer sorgfältig gestalteten Ansicht. Wenn Benutzer auf diesen Link klicken, werden sie vom Browser aufgefordert, den Link im Windows Explorer zu öffnen, wodurch der trügerische Anschein einer nicht böswilligen Aktivität entsteht.

Der Bedrohungsakteur manipuliert das Suchanwendungsprotokoll, das zum Aufrufen der Desktop-Suchanwendung unter Windows verwendet wird, um die Malware zu verbreiten. Die bösartige Internet-Verknüpfungsdatei verweist auf eine andere Internet-Verknüpfungsdatei, die auf einem Remote-Server gehostet wird („2.url“), die wiederum auf ein CMD-Shell-Skript in einem ZIP-Archiv auf demselben Server verweist („a2.zip/a2 .cmd").

Diese unkonventionelle Referenzierungsmethode zielt darauf ab, SmartScreen zu umgehen, das Mark of the Web (MotW) nicht richtig anwendet, eine wichtige Windows-Komponente, die Benutzer warnt, wenn sie Dateien aus einer nicht vertrauenswürdigen Quelle öffnen oder ausführen.

Das ultimative Ziel der Kampagne besteht darin, den Trojaner DarkMe Visual Basic heimlich einzuschleusen und gleichzeitig dem Opfer ein Aktiendiagramm anzuzeigen, um die Täuschung während des gesamten Ausnutzungs- und Infektionsprozesses aufrechtzuerhalten. DarkMe verfügt über die Fähigkeit, zusätzliche Anweisungen herunterzuladen und auszuführen, sich bei einem Command-and-Control-Server (C2) zu registrieren und Informationen vom kompromittierten System zu sammeln.