Złośliwe oprogramowanie DarkMe wykorzystuje znaną lukę
Niedawno ujawniona luka w zabezpieczeniach Microsoft Defender SmartScreen została wykorzystana jako atak dnia zerowego przeprowadzony przez zaawansowanego ugrupowania trwałego zagrożenia o nazwie Water Hydra, znanego również jako DarkCasino. Adresatami tej kampanii są osoby zajmujące się handlem na rynku finansowym.
Badacze, którzy rozpoczęli śledzenie tej kampanii pod koniec grudnia 2023 r., ujawnili, że exploit wykorzystuje CVE-2024-21412, lukę w zabezpieczeniach związaną z plikami skrótów internetowych (.URL). Według raportu opublikowanego we wtorek przez firmę zajmującą się cyberbezpieczeństwem, ugrupowanie zagrażające wykorzystało CVE-2024-21412 do obejścia funkcji Microsoft Defender SmartScreen i wprowadzenia ofiarom szkodliwego oprogramowania DarkMe.
Firma Microsoft naprawiła tę lukę w lutowej aktualizacji z wtorku, potwierdzając, że nieuprawniona osoba atakująca może wykorzystać tę lukę, wysyłając specjalnie spreparowany plik do docelowego użytkownika, omijając w ten sposób kontrole bezpieczeństwa.
DarkMe rozpowszechniany za pośrednictwem złośliwego instalatora MSI
Powodzenie wykorzystania zależy od tego, czy ugrupowanie zagrażające przekona ofiarę do kliknięcia łącza do pliku i wyświetlenia zawartości kontrolowanej przez osobę atakującą. Badacze opisali proces infekcji, szczegółowo opisując, w jaki sposób CVE-2024-21412 jest wykorzystywany do upuszczania złośliwego pliku instalacyjnego („7z.msi”) za pośrednictwem adresu URL będącego pułapką („fxbulls.ru”) rozpowszechnianego na forach handlu forex pod przykrywką udostępnienie linku do obrazu wykresu giełdowego, który w rzeczywistości jest plikiem skrótu internetowego („photo_2023-12-29.jpg.url”).
Strona docelowa fxbulls.ru zawiera łącze do złośliwego udziału WebDAV ze starannie spreparowanym widokiem. Gdy użytkownicy klikną ten link, przeglądarka wyświetli monit o otwarcie łącza w Eksploratorze Windows, tworząc zwodniczy wygląd niezłośliwej aktywności.
Osoba zagrażająca manipuluje protokołem wyszukiwania: protokołem aplikacji, używanym do wywoływania aplikacji wyszukiwania na komputerze w systemie Windows w celu dostarczenia złośliwego oprogramowania. Szkodliwy plik skrótu internetowego wskazuje inny plik skrótu internetowego hostowany na zdalnym serwerze („2.url”), który z kolei wskazuje na skrypt powłoki CMD w archiwum ZIP na tym samym serwerze („a2.zip/a2 .cmd”).
Ta niekonwencjonalna metoda odwoływania się ma na celu ominięcie filtru SmartScreen, który niewłaściwie stosuje Mark of the Web (MotW), kluczowy komponent systemu Windows ostrzegający użytkowników podczas otwierania lub uruchamiania plików z niezaufanego źródła.
Ostatecznym celem kampanii jest potajemne dostarczenie trojana DarkMe Visual Basic z jednoczesnym wyświetlaniem ofierze wykresu giełdowego, utrzymując oszustwo przez cały proces wykorzystania i infekcji. DarkMe posiada możliwości pobierania i wykonywania dodatkowych instrukcji, rejestrowania się na serwerze dowodzenia i kontroli (C2) oraz zbierania informacji z zaatakowanego systemu.
