DarkMe Malware explora vulnerabilidade conhecida
Uma vulnerabilidade de segurança recentemente revelada no Microsoft Defender SmartScreen foi explorada como um ataque de dia zero por um ator de ameaça persistente e avançado chamado Water Hydra, também conhecido como DarkCasino. Os alvos desta campanha são pessoas físicas envolvidas em negociações no mercado financeiro.
Os pesquisadores que iniciaram o rastreamento desta campanha no final de dezembro de 2023 revelaram que a exploração envolve CVE-2024-21412, uma vulnerabilidade de desvio de segurança relacionada a arquivos de atalho da Internet (.URL). De acordo com um relatório divulgado na terça-feira pela empresa de segurança cibernética, o ator da ameaça usou CVE-2024-21412 para contornar o Microsoft Defender SmartScreen e apresentar o malware DarkMe às vítimas.
A Microsoft corrigiu essa falha em sua atualização Patch Tuesday de fevereiro, reconhecendo que um invasor não autorizado poderia tirar vantagem da vulnerabilidade enviando um arquivo especialmente criado para o usuário visado, contornando assim as verificações de segurança.
DarkMe distribuído por meio de instalador MSI malicioso
O sucesso da exploração depende de o agente da ameaça convencer a vítima a clicar no link do arquivo e visualizar o conteúdo controlado pelo invasor. Os pesquisadores descreveram o processo de infecção, detalhando como o CVE-2024-21412 é explorado para lançar um arquivo instalador malicioso ("7z.msi") através de uma URL armadilhada ("fxbulls.ru") distribuída em fóruns de negociação forex sob o disfarce de compartilhar um link para uma imagem de gráfico de ações, que na verdade é um arquivo de atalho da Internet ("photo_2023-12-29.jpg.url").
A página inicial em fxbulls.ru inclui um link para um compartilhamento WebDAV malicioso com uma visualização cuidadosamente elaborada. Quando os usuários clicam nesse link, o navegador solicita que abram o link no Windows Explorer, criando uma aparência enganosa de atividade não maliciosa.
O ator da ameaça manipula o protocolo de pesquisa: aplicativo, usado para chamar o aplicativo de pesquisa de desktop no Windows, para entregar o malware. O arquivo malicioso de atalho da Internet aponta para outro arquivo de atalho da Internet hospedado em um servidor remoto ("2.url"), que, por sua vez, aponta para um script de shell CMD dentro de um arquivo ZIP no mesmo servidor ("a2.zip/a2 .cmd").
Este método de referência não convencional visa escapar do SmartScreen, que não aplica corretamente o Mark of the Web (MotW), um componente crucial do Windows que avisa os usuários ao abrir ou executar arquivos de uma fonte não confiável.
O objetivo final da campanha é entregar sub-repticiamente o trojan DarkMe Visual Basic enquanto exibe um gráfico de ações para a vítima, mantendo o engano durante todo o processo de exploração e infecção. DarkMe possui recursos para baixar e executar instruções adicionais, registrar-se em um servidor de comando e controle (C2) e coletar informações do sistema comprometido.
