„DarkMe“ kenkėjiška programa išnaudoja žinomą pažeidžiamumą

Neseniai atskleistą „Microsoft Defender SmartScreen“ saugos pažeidžiamumą kaip nulinės dienos ataką išnaudojo pažangus nuolatinės grėsmės veikėjas Water Hydra, dar žinomas kaip „DarkCasino“. Šios kampanijos taikiniai – asmenys, užsiimantys prekyba finansų rinkose.

Mokslininkai, kurie 2023 m. gruodžio pabaigoje pradėjo stebėti šią kampaniją, atskleidė, kad išnaudojimas yra susijęs su CVE-2024-21412 – saugos apėjimo pažeidžiamumu, susijusiu su interneto nuorodų failais (.URL). Remiantis antradienį kibernetinio saugumo įmonės paskelbta ataskaita, grėsmių veikėjas naudojo CVE-2024-21412, kad apeitų „Microsoft Defender SmartScreen“ ir supažindintų su „DarkMe“ kenkėjiška programa.

„Microsoft“ ištaisė šią klaidą vasario mėn. pataisų antradienio atnaujinime, pripažindama, kad neteisėtas užpuolikas gali pasinaudoti pažeidžiamumu, nusiųsdamas specialiai sukurtą failą tiksliniam vartotojui ir taip apeidamas saugos patikras.

DarkMe platinama per kenkėjišką MSI diegimo programą

Išnaudojimo sėkmė priklauso nuo grėsmės veikėjo, kuris įtikins auką spustelėti failo nuorodą ir peržiūrėti užpuoliko valdomą turinį. Tyrėjai apibūdino užsikrėtimo procesą, išsamiai apibūdindami, kaip CVE-2024-21412 naudojamas norint numesti kenkėjišką diegimo failą („7z.msi“) per slaptą URL („fxbulls.ru“), platinamą Forex prekybos forumuose, prisidengiant bendrinti nuorodą į akcijų diagramos vaizdą, kuris iš tikrųjų yra interneto nuorodos failas ("photo_2023-12-29.jpg.url").

Fxbulls.ru nukreipimo puslapyje yra nuoroda į kenkėjišką WebDAV bendrinimą su kruopščiai sukurtu vaizdu. Kai vartotojai spusteli šią nuorodą, naršyklė paragins juos atidaryti nuorodą „Windows Explorer“, sukurdama apgaulingą nekenksmingos veiklos vaizdą.

Grėsmės veikėjas manipuliuoja paieška: programos protokolas, naudojamas iškviesti darbalaukio paieškos programą sistemoje „Windows“, kad būtų pristatyta kenkėjiška programa. Kenkėjiškas interneto nuorodos failas nurodo kitą interneto nuorodos failą, priglobtą nuotoliniame serveryje („2.url“), kuris, savo ruožtu, nurodo CMD apvalkalo scenarijų tame pačiame serveryje esančiame ZIP archyve („a2.zip/a2“). .cmd").

Šiuo netradiciniu nuorodų metodu siekiama išvengti „SmartScreen“, kuris nesugeba tinkamai pritaikyti „Mark of the Web“ (MotW), esminio „Windows“ komponento, kuris įspėja vartotojus atidarius arba paleidžiant failus iš nepatikimo šaltinio.

Galutinis kampanijos tikslas yra slapta pristatyti „DarkMe Visual Basic“ Trojos arklys, tuo pačiu rodant aukai atsargų grafiką, išlaikant apgaulę per visą išnaudojimo ir užkrėtimo procesą. „DarkMe“ turi galimybę atsisiųsti ir vykdyti papildomas instrukcijas, užsiregistruoti komandų ir valdymo (C2) serveryje ir rinkti informaciją iš pažeistos sistemos.