A DarkMe rosszindulatú program kihasználja az ismert sebezhetőséget

A Microsoft Defender SmartScreen nemrégiben feltárt biztonsági rését nulladik napi támadásként használta ki a Water Hydra nevű fejlett, állandó fenyegetést okozó szereplő, más néven DarkCasino. A kampány célpontjai a pénzpiaci kereskedésben részt vevő magánszemélyek.

Azok a kutatók, akik 2023. december végén kezdeményezték ennek a kampánynak a nyomon követését, felfedték, hogy a visszaélés a CVE-2024-21412-t, az Internet Shortcut Files (.URL) biztonsági megkerülő sérülékenységét tartalmazza. A kiberbiztonsági cég kedden közzétett jelentése szerint a fenyegetettség szereplője a CVE-2024-21412 kódot használta a Microsoft Defender SmartScreen megkerülésére és a DarkMe kártevő bemutatására az áldozatoknak.

A Microsoft ezt a hibát orvosolta a februári javítási keddi frissítésében, elismerve, hogy egy illetéktelen támadó kihasználhatja a biztonsági rést, és egy speciálisan kialakított fájlt küld a megcélzott felhasználónak, megkerülve ezzel a biztonsági ellenőrzéseket.

A DarkMe rosszindulatú MSI telepítőn keresztül terjesztve

A kihasználás sikere azon múlik, hogy a fenyegetés szereplője meggyőzi az áldozatot, hogy kattintson a fájl hivatkozására, és tekintse meg a támadó által irányított tartalmat. A kutatók felvázolták a fertőzési folyamatot, és részletezték, hogyan használják ki a CVE-2024-21412-t egy rosszindulatú telepítőfájl ("7z.msi") eldobására a devizakereskedési fórumokon terjesztett, csapdába esett URL-en ("fxbulls.ru") keresztül. egy részvénydiagram képére mutató hivatkozás megosztása, amely valójában egy internetes parancsikonfájl ("photo_2023-12-29.jpg.url").

Az fxbulls.ru webhely nyitóoldala egy rosszindulatú WebDAV-megosztásra mutató hivatkozást tartalmaz, gondosan kialakított nézettel. Amikor a felhasználók erre a hivatkozásra kattintanak, a böngésző felkéri őket, hogy nyissa meg a hivatkozást a Windows Intézőben, így nem rosszindulatú tevékenység megtévesztő látszatát keltve.

A fenyegetettség szereplője manipulálja a keresést: alkalmazásprotokoll, amely az asztali keresőalkalmazás meghívására szolgál a Windows rendszeren a rosszindulatú program kézbesítésére. A rosszindulatú internetes parancsikonfájl egy távoli szerveren tárolt másik internetes parancsikon fájlra mutat ("2.url"), amely viszont egy CMD shell szkriptre mutat egy ZIP archívumban ugyanazon a szerveren ("a2.zip/a2" .cmd").

Ennek a nem szokványos hivatkozási módszernek az a célja, hogy elkerülje a SmartScreen-t, amely nem alkalmazza megfelelően a Mark of the Web (MotW) létfontosságú Windows-összetevőt, amely figyelmezteti a felhasználókat, amikor nem megbízható forrásból származó fájlokat nyitnak meg vagy futtatnak.

A kampány végső célja a DarkMe Visual Basic trójai titokban történő eljuttatása, miközben egy állománydiagramot jelenít meg az áldozatnak, fenntartva a megtévesztést a kizsákmányolási és fertőzési folyamat során. A DarkMe képes további utasítások letöltésére és végrehajtására, regisztrálni magát egy parancs-és vezérlő (C2) szerveren, és információkat gyűjteni a feltört rendszerről.