Il malware DarkMe sfrutta vulnerabilità note
Una vulnerabilità di sicurezza recentemente rivelata in Microsoft Defender SmartScreen è stata sfruttata come attacco zero-day da un attore di minacce persistenti avanzate chiamato Water Hydra, noto anche come DarkCasino. Gli obiettivi di questa campagna sono le persone coinvolte nel commercio sui mercati finanziari.
I ricercatori che hanno iniziato a monitorare questa campagna alla fine di dicembre 2023, hanno rivelato che l'exploit coinvolge CVE-2024-21412, una vulnerabilità di bypass della sicurezza relativa ai file di collegamento Internet (.URL). Secondo un rapporto pubblicato martedì dalla società di sicurezza informatica, l'autore della minaccia ha utilizzato CVE-2024-21412 per aggirare Microsoft Defender SmartScreen e introdurre il malware DarkMe nelle vittime.
Microsoft ha risolto questo problema nel suo aggiornamento Patch Tuesday di febbraio, riconoscendo che un utente malintenzionato non autorizzato potrebbe sfruttare la vulnerabilità inviando un file appositamente predisposto all'utente preso di mira, aggirando così i controlli di sicurezza.
DarkMe distribuito tramite un programma di installazione MSI dannoso
Il successo dello sfruttamento dipende dalla capacità dell'autore della minaccia di convincere la vittima a fare clic sul collegamento del file e visualizzare il contenuto controllato dall'aggressore. I ricercatori hanno delineato il processo di infezione, descrivendo in dettaglio come CVE-2024-21412 viene sfruttato per rilasciare un file di installazione dannoso ("7z.msi") attraverso un URL esplosivo ("fxbulls.ru") distribuito sui forum di trading forex con il pretesto di condividere un collegamento a un'immagine del grafico azionario, che in realtà è un file di collegamento Internet ("photo_2023-12-29.jpg.url").
La pagina di destinazione su fxbulls.ru include un collegamento a una condivisione WebDAV dannosa con una visualizzazione attentamente realizzata. Quando gli utenti fanno clic su questo collegamento, il browser richiede loro di aprire il collegamento in Esplora risorse, creando l'apparenza ingannevole di attività non dannosa.
L'autore della minaccia manipola il protocollo search: application, utilizzato per richiamare l'applicazione di ricerca desktop su Windows, per distribuire il malware. Il file di collegamento Internet dannoso punta a un altro file di collegamento Internet ospitato su un server remoto ("2.url"), che, a sua volta, punta a uno script della shell CMD all'interno di un archivio ZIP sullo stesso server ("a2.zip/a2 .cmd").
Questo metodo di riferimento non convenzionale mira a eludere SmartScreen, che non riesce ad applicare correttamente Mark of the Web (MotW), un componente cruciale di Windows che avvisa gli utenti quando aprono o eseguono file da una fonte non attendibile.
L'obiettivo finale della campagna è consegnare di nascosto il trojan DarkMe Visual Basic mostrando alla vittima un grafico azionario, mantenendo l'inganno durante tutto il processo di sfruttamento e infezione. DarkMe possiede funzionalità per scaricare ed eseguire istruzioni aggiuntive, registrarsi con un server di comando e controllo (C2) e raccogliere informazioni dal sistema compromesso.
