El malware DarkMe aprovecha una vulnerabilidad conocida
Una vulnerabilidad de seguridad recientemente revelada en Microsoft Defender SmartScreen ha sido explotada como un ataque de día cero por un actor de amenaza persistente avanzado llamado Water Hydra, también conocido como DarkCasino. Los objetivos de esta campaña son personas involucradas en el comercio en los mercados financieros.
Los investigadores que iniciaron el seguimiento de esta campaña a finales de diciembre de 2023 revelaron que el exploit involucra CVE-2024-21412, una vulnerabilidad de elusión de seguridad relacionada con archivos de acceso directo a Internet (.URL). Según un informe publicado el martes por la empresa de ciberseguridad, el actor de amenazas utilizó CVE-2024-21412 para eludir Microsoft Defender SmartScreen e introducir el malware DarkMe a las víctimas.
Microsoft abordó esta falla en su actualización del martes de parches de febrero, reconociendo que un atacante no autorizado podría aprovechar la vulnerabilidad enviando un archivo especialmente diseñado al usuario objetivo, evitando así los controles de seguridad.
DarkMe distribuido a través de un instalador MSI malicioso
El éxito de la explotación depende de que el actor de la amenaza convenza a la víctima de hacer clic en el enlace del archivo y ver el contenido controlado por el atacante. Los investigadores describieron el proceso de infección y detallaron cómo se aprovecha CVE-2024-21412 para colocar un archivo de instalación malicioso ("7z.msi") a través de una URL trampa ("fxbulls.ru") distribuida en foros de comercio de divisas bajo la apariencia de compartir un enlace a la imagen de un gráfico de acciones, que en realidad es un archivo de acceso directo a Internet ("photo_2023-12-29.jpg.url").
La página de inicio de fxbulls.ru incluye un enlace a un recurso compartido WebDAV malicioso con una vista cuidadosamente diseñada. Cuando los usuarios hacen clic en este enlace, el navegador les solicita que abran el enlace en el Explorador de Windows, creando una apariencia engañosa de actividad no maliciosa.
El actor de amenazas manipula el protocolo de aplicación de búsqueda, utilizado para llamar a la aplicación de búsqueda de escritorio en Windows, para entregar el malware. El archivo malicioso de acceso directo a Internet apunta a otro archivo de acceso directo a Internet alojado en un servidor remoto ("2.url"), que, a su vez, apunta a un script de shell CMD dentro de un archivo ZIP en el mismo servidor ("a2.zip/a2"). .cmd").
Este método de referencia poco convencional tiene como objetivo evadir SmartScreen, que no aplica correctamente Mark of the Web (MotW), un componente crucial de Windows que advierte a los usuarios cuando abren o ejecutan archivos de una fuente no confiable.
El objetivo final de la campaña es entregar subrepticiamente el troyano DarkMe Visual Basic mientras se muestra un gráfico de valores a la víctima, manteniendo el engaño durante todo el proceso de explotación e infección. DarkMe posee capacidades para descargar y ejecutar instrucciones adicionales, registrarse en un servidor de comando y control (C2) y recopilar información del sistema comprometido.
