DarkMe Malware utnytter kjent sårbarhet
Et nylig avslørt sikkerhetssårbarhet i Microsoft Defender SmartScreen har blitt utnyttet som et nulldagers angrep av en avansert vedvarende trusselaktør ved navn Water Hydra, også kjent som DarkCasino. Målene for denne kampanjen er personer involvert i finansmarkedshandel.
Forskere som startet sporing av denne kampanjen i slutten av desember 2023, avslørte at utnyttelsen involverer CVE-2024-21412, en sikkerhetsomgåelsessårbarhet relatert til Internet Shortcut Files (.URL). I følge en rapport utgitt på tirsdag av nettsikkerhetsfirmaet, brukte trusselaktøren CVE-2024-21412 for å omgå Microsoft Defender SmartScreen og introdusere DarkMe-malware til ofre.
Microsoft løste denne feilen i sin oppdatering av februar Patch Tuesday, og erkjente at en uautorisert angriper kunne dra nytte av sikkerhetsproblemet ved å sende en spesiallaget fil til den målrettede brukeren, og dermed omgå sikkerhetskontroller.
DarkMe distribuert gjennom skadelig MSI Installer
Suksessen til utnyttelsen er avhengig av at trusselaktøren overbeviser offeret til å klikke på fillenken og se det angriperkontrollerte innholdet. Forskere skisserte infeksjonsprosessen, og beskrev hvordan CVE-2024-21412 utnyttes til å slippe en ondsinnet installasjonsfil ("7z.msi") gjennom en booby-fanget URL ("fxbulls.ru") distribuert på valutahandelsfora under dekke av dele en lenke til et aksjekartbilde, som faktisk er en internett-snarveisfil ("photo_2023-12-29.jpg.url").
Landingssiden på fxbulls.ru inneholder en lenke til en ondsinnet WebDAV-andel med en nøye utformet visning. Når brukere klikker på denne koblingen, ber nettleseren dem om å åpne koblingen i Windows Utforsker, og skaper et villedende utseende av ikke-ondsinnet aktivitet.
Trusselaktøren manipulerer søk: applikasjonsprotokollen, som brukes til å kalle skrivebordssøkeapplikasjonen på Windows, for å levere skadelig programvare. Den ondsinnede internetsnarveisfilen peker til en annen internettsnarveisfil som er vert på en ekstern server ("2.url"), som igjen peker til et CMD-skallskript i et ZIP-arkiv på samme server ("a2.zip/a2") .cmd").
Denne ukonvensjonelle referansemetoden tar sikte på å unngå SmartScreen, som ikke klarer å bruke Mark of the Web (MotW), en viktig Windows-komponent som advarer brukere når de åpner eller kjører filer fra en uklarert kilde.
Det endelige målet med kampanjen er å i det skjulte levere DarkMe Visual Basic-trojaneren samtidig som den viser en aksjegraf til offeret, og opprettholder bedraget gjennom hele utnyttelses- og infeksjonsprosessen. DarkMe har evner til å laste ned og utføre tilleggsinstruksjoner, registrere seg selv med en kommando-og-kontroll-server (C2) og samle informasjon fra det kompromitterte systemet.