DarkMe Malware utnyttjar känd sårbarhet
En nyligen avslöjad säkerhetsrisk i Microsoft Defender SmartScreen har utnyttjats som en nolldagsattack av en avancerad ihållande hotaktör vid namn Water Hydra, även känd som DarkCasino. Målen för denna kampanj är individer som är involverade i handel med finansmarknader.
Forskare som inledde spårning av denna kampanj i slutet av december 2023 avslöjade att exploateringen involverar CVE-2024-21412, en säkerhetsförbikopplingssårbarhet relaterad till Internet Genvägsfiler (.URL). Enligt en rapport som släpptes på tisdagen av cybersäkerhetsföretaget använde hotaktören CVE-2024-21412 för att kringgå Microsoft Defender SmartScreen och introducera DarkMe-skadlig programvara för offer.
Microsoft åtgärdade detta fel i sin uppdatering av Patch Tuesday i februari, och erkände att en obehörig angripare kunde dra fördel av sårbarheten genom att skicka en specialgjord fil till den riktade användaren och därigenom kringgå säkerhetskontroller.
DarkMe distribueras genom skadlig MSI Installer
Framgången för utnyttjandet beror på att hotaktören övertygar offret att klicka på fillänken och se det angriparkontrollerade innehållet. Forskare beskrev infektionsprocessen och beskrev hur CVE-2024-21412 utnyttjas för att släppa en skadlig installationsfil ("7z.msi") genom en booby-trapped URL ("fxbulls.ru") som distribueras på valutahandelsforum under sken av att dela en länk till en aktiediagrambild, som faktiskt är en internetgenvägsfil ("photo_2023-12-29.jpg.url").
Målsidan på fxbulls.ru innehåller en länk till en skadlig WebDAV-delning med en noggrant utformad vy. När användare klickar på den här länken uppmanar webbläsaren dem att öppna länken i Utforskaren i Windows, vilket skapar ett bedrägligt utseende av icke-skadlig aktivitet.
Hotaktören manipulerar sök:-applikationsprotokollet, som används för att anropa skrivbordssökprogrammet på Windows, för att leverera skadlig programvara. Den skadliga internetgenvägsfilen pekar på en annan internetgenvägsfil som finns på en fjärrserver ("2.url"), som i sin tur pekar på ett CMD-skalskript i ett ZIP-arkiv på samma server ("a2.zip/a2" .cmd").
Denna okonventionella referensmetod syftar till att undvika SmartScreen, som misslyckas med att korrekt tillämpa Mark of the Web (MotW), en avgörande Windows-komponent som varnar användare när de öppnar eller kör filer från en opålitlig källa.
Kampanjens slutmål är att i smyg leverera DarkMe Visual Basic-trojanen samtidigt som den visar en stockgraf för offret, och upprätthåller bedrägerierna under hela exploateringen och infektionsprocessen. DarkMe har kapacitet att ladda ner och exekvera ytterligare instruktioner, registrera sig själv med en kommando-och-kontroll-server (C2) och samla information från det komprometterade systemet.
