Το DarkMe Malware εκμεταλλεύεται γνωστή ευπάθεια

Μια ευπάθεια ασφαλείας που αποκαλύφθηκε πρόσφατα στο Microsoft Defender SmartScreen έχει αξιοποιηθεί ως επίθεση μηδενικής ημέρας από έναν προηγμένο παράγοντα επίμονης απειλής που ονομάζεται Water Hydra, επίσης γνωστός ως DarkCasino. Οι στόχοι αυτής της εκστρατείας είναι άτομα που ασχολούνται με τις συναλλαγές στις χρηματοπιστωτικές αγορές.

Οι Reaearchers που ξεκίνησαν την παρακολούθηση αυτής της καμπάνιας στα τέλη Δεκεμβρίου 2023, αποκάλυψαν ότι η εκμετάλλευση περιλαμβάνει το CVE-2024-21412, μια ευπάθεια παράκαμψης ασφαλείας που σχετίζεται με τα αρχεία συντομεύσεων Internet (.URL). Σύμφωνα με μια έκθεση που κυκλοφόρησε την Τρίτη από την εταιρεία κυβερνοασφάλειας, ο παράγοντας απειλών χρησιμοποίησε το CVE-2024-21412 για να παρακάμψει το Microsoft Defender SmartScreen και να εισαγάγει το κακόβουλο λογισμικό DarkMe στα θύματα.

Η Microsoft αντιμετώπισε αυτό το ελάττωμα στην ενημέρωση της ενημέρωσης της Τρίτης ενημέρωσης του Φεβρουαρίου, αναγνωρίζοντας ότι ένας μη εξουσιοδοτημένος εισβολέας θα μπορούσε να εκμεταλλευτεί την ευπάθεια στέλνοντας ένα ειδικά δημιουργημένο αρχείο στον στοχευμένο χρήστη, παρακάμπτοντας έτσι τους ελέγχους ασφαλείας.

Το DarkMe διανέμεται μέσω κακόβουλου προγράμματος εγκατάστασης MSI

Η επιτυχία της εκμετάλλευσης βασίζεται στο ότι ο παράγοντας απειλής πείθει το θύμα να κάνει κλικ στον σύνδεσμο του αρχείου και να δει το περιεχόμενο που ελέγχεται από τους εισβολείς. Οι ερευνητές περιέγραψαν τη διαδικασία μόλυνσης, περιγράφοντας λεπτομερώς τον τρόπο εκμετάλλευσης του CVE-2024-21412 για την απόρριψη ενός κακόβουλου αρχείου προγράμματος εγκατάστασης ("7z.msi") μέσω μιας αποκλεισμένης διεύθυνσης URL ("fxbulls.ru") που διανέμεται σε φόρουμ συναλλάγματος υπό το πρόσχημα του κοινή χρήση ενός συνδέσμου προς μια εικόνα γραφήματος μετοχών, η οποία είναι στην πραγματικότητα ένα αρχείο συντόμευσης στο Διαδίκτυο ("photo_2023-12-29.jpg.url").

Η σελίδα προορισμού στο fxbulls.ru περιλαμβάνει έναν σύνδεσμο προς ένα κακόβουλο κοινόχρηστο στοιχείο WebDAV με μια προσεκτικά σχεδιασμένη προβολή. Όταν οι χρήστες κάνουν κλικ σε αυτόν τον σύνδεσμο, το πρόγραμμα περιήγησης τους ζητά να ανοίξουν τον σύνδεσμο στην Εξερεύνηση των Windows, δημιουργώντας μια παραπλανητική εμφάνιση μη κακόβουλης δραστηριότητας.

Ο παράγοντας απειλής χειρίζεται την αναζήτηση: πρωτόκολλο εφαρμογής, που χρησιμοποιείται για την κλήση της εφαρμογής αναζήτησης επιφάνειας εργασίας στα Windows, για την παράδοση του κακόβουλου λογισμικού. Το κακόβουλο αρχείο συντόμευσης διαδικτύου οδηγεί σε ένα άλλο αρχείο συντόμευσης Διαδικτύου που φιλοξενείται σε έναν απομακρυσμένο διακομιστή ("2.url"), ο οποίος, με τη σειρά του, οδηγεί σε ένα σενάριο κελύφους CMD μέσα σε ένα αρχείο ZIP στον ίδιο διακομιστή ("a2.zip/a2 .cmd").

Αυτή η μη συμβατική μέθοδος αναφοράς στοχεύει να αποφύγει το SmartScreen, το οποίο αποτυγχάνει να εφαρμόσει σωστά το Mark of the Web (MotW), ένα κρίσιμο στοιχείο των Windows που προειδοποιεί τους χρήστες όταν ανοίγουν ή εκτελούν αρχεία από μη αξιόπιστη πηγή.

Ο απώτερος στόχος της εκστρατείας είναι να παραδώσει κρυφά τον trojan DarkMe Visual Basic ενώ εμφανίζει ένα γράφημα μετοχής στο θύμα, διατηρώντας την εξαπάτηση σε όλη τη διαδικασία εκμετάλλευσης και μόλυνσης. Το DarkMe διαθέτει δυνατότητες λήψης και εκτέλεσης πρόσθετων οδηγιών, εγγραφής σε διακομιστή εντολών και ελέγχου (C2) και συλλογής πληροφοριών από το παραβιασμένο σύστημα.