Le logiciel malveillant DarkMe exploite une vulnérabilité connue
Une vulnérabilité de sécurité récemment révélée dans Microsoft Defender SmartScreen a été exploitée comme une attaque zero-day par un acteur de menace persistante avancée nommé Water Hydra, également connu sous le nom de DarkCasino. Les cibles de cette campagne sont les individus impliqués dans les transactions sur les marchés financiers.
Les chercheurs qui ont lancé le suivi de cette campagne fin décembre 2023 ont révélé que l'exploit impliquait CVE-2024-21412, une vulnérabilité de contournement de sécurité liée aux fichiers de raccourci Internet (.URL). Selon un rapport publié mardi par la société de cybersécurité, l'acteur malveillant a utilisé CVE-2024-21412 pour contourner Microsoft Defender SmartScreen et présenter le malware DarkMe aux victimes.
Microsoft a corrigé cette faille dans sa mise à jour Patch Tuesday de février, reconnaissant qu'un attaquant non autorisé pourrait profiter de la vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur ciblé, contournant ainsi les contrôles de sécurité.
DarkMe distribué via un programme d'installation MSI malveillant
Le succès de l'exploitation dépend de la capacité de l'acteur malveillant à convaincre la victime de cliquer sur le lien du fichier et d'afficher le contenu contrôlé par l'attaquant. Les chercheurs ont décrit le processus d'infection, détaillant comment CVE-2024-21412 est exploité pour déposer un fichier d'installation malveillant (« 7z.msi ») via une URL piégée (« fxbulls.ru ») distribuée sur les forums de trading forex sous le couvert de partager un lien vers une image de graphique boursier, qui est en fait un fichier de raccourci Internet ("photo_2023-12-29.jpg.url").
La page de destination sur fxbulls.ru comprend un lien vers un partage WebDAV malveillant avec une vue soigneusement conçue. Lorsque les utilisateurs cliquent sur ce lien, le navigateur les invite à ouvrir le lien dans l'Explorateur Windows, créant ainsi une apparence trompeuse d'activité non malveillante.
L'acteur malveillant manipule le protocole d'application de recherche, utilisé pour appeler l'application de recherche de bureau sous Windows, pour diffuser le logiciel malveillant. Le fichier de raccourci Internet malveillant pointe vers un autre fichier de raccourci Internet hébergé sur un serveur distant (« 2.url »), qui, à son tour, pointe vers un script shell CMD dans une archive ZIP sur le même serveur (« a2.zip/a2 .cmd").
Cette méthode de référencement non conventionnelle vise à échapper à SmartScreen, qui ne parvient pas à appliquer correctement Mark of the Web (MotW), un composant Windows crucial qui avertit les utilisateurs lors de l'ouverture ou de l'exécution de fichiers provenant d'une source non fiable.
L'objectif ultime de la campagne est de transmettre subrepticement le cheval de Troie DarkMe Visual Basic tout en affichant un graphique boursier à la victime, maintenant ainsi la tromperie tout au long du processus d'exploitation et d'infection. DarkMe possède des capacités lui permettant de télécharger et d'exécuter des instructions supplémentaires, de s'enregistrer auprès d'un serveur de commande et de contrôle (C2) et de collecter des informations sur le système compromis.