DarkMe マルウェアが既知の脆弱性を悪用

最近明らかになった Microsoft Defender SmartScreen のセキュリティ脆弱性が、DarkCasino としても知られる Water Hydra という高度な持続的脅威アクターによるゼロデイ攻撃として悪用されました。このキャンペーンの対象者は、金融市場取引に携わる個人です。

2023 年 12 月下旬にこのキャンペーンの追跡を開始した研究者は、このエクスプロイトにはインターネット ショートカット ファイル (.URL) に関連するセキュリティ バイパスの脆弱性である CVE-2024-21412 が関与していることを明らかにしました。サイバーセキュリティ会社が火曜日に発表した報告書によると、攻撃者は CVE-2024-21412 を使用して Microsoft Defender SmartScreen を回避し、被害者に DarkMe マルウェアを導入しました。

Microsoft は 2 月の Patch Tuesday アップデートでこの欠陥に対処し、無許可の攻撃者が特別に細工したファイルを標的のユーザーに送信し、セキュリティ チェックを回避することでこの脆弱性を悪用する可能性があることを認めました。

DarkMe は悪意のある MSI インストーラーを通じて配布される

悪用が成功するかどうかは、攻撃者が被害者にファイルのリンクをクリックさせ、攻撃者が制御するコンテンツを表示させるかどうかにかかっています。研究者らは感染プロセスの概要を説明し、CVE-2024-21412がどのように悪用され、外国為替取引フォーラムで配布されたブービートラップされたURL（「fxbulls.ru」）を介して悪意のあるインストーラーファイル（「7z.msi」）をドロップするかを詳しく説明しました。株価チャートの画像へのリンクを共有します。これは実際にはインターネットのショートカット ファイル (「photo_2023-12-29.jpg.url」) です。

fxbulls.ru のランディング ページには、慎重に作成されたビューを含む悪意のある WebDAV 共有へのリンクが含まれています。ユーザーがこのリンクをクリックすると、ブラウザは Windows エクスプローラーでリンクを開くように要求し、悪意のないアクティビティであるかのように見せかけます。

脅威アクターは、Windows 上のデスクトップ検索アプリケーションを呼び出すために使用される search: application プロトコルを操作して、マルウェアを配信します。悪意のあるインターネット ショートカット ファイルは、リモート サーバー上でホストされている別のインターネット ショートカット ファイル (「2.url」) を指し、さらにこのファイルは、同じサーバー上の ZIP アーカイブ内の CMD シェル スクリプト (「a2.zip/a2」) を指します。 .cmd」）。

この型破りな参照方法は、信頼できないソースからファイルを開いたり実行したりするときにユーザーに警告する重要な Windows コンポーネントである Mark of the Web (MotW) を適切に適用できない SmartScreen を回避することを目的としています。

このキャンペーンの最終的な目的は、被害者に株価グラフを表示しながら DarkMe Visual Basic トロイの木馬を密かに配信し、悪用と感染のプロセス全体を通じて欺瞞を維持することです。 DarkMe は、追加の命令をダウンロードして実行し、コマンド アンド コントロール (C2) サーバーに自身を登録し、侵害されたシステムから情報を収集する機能を備えています。