Вредоносное ПО DarkMe использует известную уязвимость

Недавно обнаруженная уязвимость безопасности в Microsoft Defender SmartScreen была использована в качестве атаки нулевого дня продвинутым постоянным злоумышленником по имени Water Hydra, также известным как DarkCasino. Целью этой кампании являются лица, участвующие в торговле на финансовых рынках.

Исследователи, которые начали отслеживать эту кампанию в конце декабря 2023 года, сообщили, что эксплойт включает в себя CVE-2024-21412, уязвимость обхода безопасности, связанную с файлами ярлыков Интернета (.URL). Согласно отчету, опубликованному во вторник фирмой по кибербезопасности, злоумышленник использовал CVE-2024-21412, чтобы обойти Microsoft Defender SmartScreen и представить жертвам вредоносное ПО DarkMe.

Microsoft устранила этот недостаток в своем февральском обновлении «Вторник исправлений», признав, что неавторизованный злоумышленник может воспользоваться уязвимостью, отправив специально созданный файл целевому пользователю, тем самым минуя проверки безопасности.

DarkMe распространяется через вредоносный установщик MSI

Успех эксплуатации зависит от того, насколько злоумышленник убедит жертву щелкнуть ссылку на файл и просмотреть контент, контролируемый злоумышленником. Исследователи описали процесс заражения, подробно описав, как CVE-2024-21412 используется для передачи вредоносного установочного файла («7z.msi») через заминированный URL-адрес («fxbulls.ru»), распространяемый на торговых форумах Форекс под видом поделиться ссылкой на изображение биржевой диаграммы, которая на самом деле является файлом ярлыка в Интернете («photo_2023-12-29.jpg.url»).

Целевая страница fxbulls.ru содержит ссылку на вредоносный ресурс WebDAV с тщательно продуманным видом. Когда пользователи нажимают на эту ссылку, браузер предлагает им открыть ссылку в проводнике Windows, создавая обманчивую видимость незлонамеренной активности.

Злоумышленник манипулирует протоколом поиска: приложения, используемым для вызова настольного приложения поиска в Windows, для доставки вредоносного ПО. Вредоносный файл ярлыка Интернета указывает на другой файл ярлыка Интернета, размещенный на удаленном сервере («2.url»), который, в свою очередь, указывает на сценарий оболочки CMD в ZIP-архиве на том же сервере («a2.zip/a2 .cmd").

Этот нетрадиционный метод ссылок направлен на обход SmartScreen, который не может должным образом применить Mark of the Web (MotW), важный компонент Windows, который предупреждает пользователей при открытии или запуске файлов из ненадежного источника.

Конечная цель кампании — тайно доставить трояна DarkMe Visual Basic, одновременно отображая жертве биржевой график, поддерживая обман на протяжении всего процесса эксплуатации и заражения. DarkMe обладает возможностями загружать и выполнять дополнительные инструкции, регистрироваться на сервере управления и контроля (C2) и собирать информацию из скомпрометированной системы.