DarkMe Malware maakt gebruik van bekende kwetsbaarheid

Een onlangs onthuld beveiligingsprobleem in Microsoft Defender SmartScreen is uitgebuit als een zero-day-aanval door een geavanceerde aanhoudende dreigingsactor genaamd Water Hydra, ook wel bekend als DarkCasino. De doelstellingen van deze campagne zijn personen die betrokken zijn bij de handel op de financiële markten.

Onderzoekers die eind december 2023 begonnen met het volgen van deze campagne, maakten bekend dat de exploit betrekking heeft op CVE-2024-21412, een beveiligingslek gerelateerd aan internetsnelkoppelingsbestanden (.URL). Volgens een rapport dat dinsdag door het cyberbeveiligingsbedrijf is vrijgegeven, gebruikte de bedreigingsacteur CVE-2024-21412 om Microsoft Defender SmartScreen te omzeilen en de DarkMe-malware bij de slachtoffers te introduceren.

Microsoft heeft dit probleem verholpen in de Patch Tuesday-update van februari en erkende dat een ongeautoriseerde aanvaller misbruik zou kunnen maken van het beveiligingslek door een speciaal vervaardigd bestand naar de beoogde gebruiker te sturen en daarmee de beveiligingscontroles te omzeilen.

DarkMe gedistribueerd via kwaadaardig MSI-installatieprogramma

Het succes van de uitbuiting hangt af van de mate waarin de bedreigingsacteur het slachtoffer ervan overtuigt om op de bestandslink te klikken en de door de aanvaller gecontroleerde inhoud te bekijken. Onderzoekers schetsten het infectieproces en legden uit hoe CVE-2024-21412 wordt uitgebuit om een kwaadaardig installatiebestand ("7z.msi") via een boobytrap-URL ("fxbulls.ru") te plaatsen die op forex-handelsforums wordt verspreid onder het mom van het delen van een link naar een aandelengrafiekafbeelding, die eigenlijk een internetsnelkoppelingsbestand is ("photo_2023-12-29.jpg.url").

De landingspagina op fxbulls.ru bevat een link naar een kwaadaardige WebDAV-share met een zorgvuldig samengestelde weergave. Wanneer gebruikers op deze link klikken, vraagt de browser hen om de link in Windows Verkenner te openen, waardoor de schijn van niet-kwaadwillige activiteit ontstaat.

De bedreigingsactor manipuleert het zoekprogramma: het applicatieprotocol, dat wordt gebruikt om de desktopzoekapplicatie op Windows aan te roepen, om de malware af te leveren. Het kwaadaardige internetsnelkoppelingsbestand verwijst naar een ander internetsnelkoppelingsbestand dat wordt gehost op een externe server ("2.url"), dat op zijn beurt verwijst naar een CMD-shellscript in een ZIP-archief op dezelfde server ("a2.zip/a2 .cmd").

Deze onconventionele verwijzingsmethode heeft tot doel SmartScreen te omzeilen, dat er niet in slaagt Mark of the Web (MotW) correct toe te passen, een cruciaal Windows-onderdeel dat gebruikers waarschuwt bij het openen of uitvoeren van bestanden van een niet-vertrouwde bron.

Het uiteindelijke doel van de campagne is om op heimelijke wijze de DarkMe Visual Basic-trojan af te leveren terwijl het slachtoffer een aandelengrafiek wordt weergegeven, waardoor de misleiding gedurende het gehele exploitatie- en infectieproces in stand wordt gehouden. DarkMe beschikt over de mogelijkheid om aanvullende instructies te downloaden en uit te voeren, zichzelf te registreren bij een command-and-control (C2)-server en informatie te verzamelen van het aangetaste systeem.