DarkMe 恶意软件利用已知漏洞

最近披露的 Microsoft Defender SmartScreen 中的一个安全漏洞已被名为 Water Hydra（也称为 DarkCasino）的高级持续威胁攻击者利用作为零日攻击。该活动的目标是参与金融市场交易的个人。

于 2023 年 12 月下旬开始跟踪此活动的研究人员透露，该漏洞利用涉及 CVE-2024-21412，这是一个与互联网快捷文件 (.URL) 相关的安全绕过漏洞。根据该网络安全公司周二发布的一份报告，威胁行为者使用 CVE-2024-21412 绕过 Microsoft Defender SmartScreen 并向受害者引入 DarkMe 恶意软件。

微软在二月补丁星期二更新中解决了这个缺陷，承认未经授权的攻击者可以通过向目标用户发送特制文件来利用该漏洞，从而绕过安全检查。

DarkMe 通过恶意 MSI 安装程序分发

漏洞利用的成功取决于威胁行为者说服受害者单击文件链接并查看攻击者控制的内容。研究人员概述了感染过程，详细说明了如何利用 CVE-2024-21412 通过假装在外汇交易论坛上分发的诱杀 URL（“fxbulls.ru”）投放恶意安装程序文件（“7z.msi”）共享股票图表图像的链接，该图像实际上是一个互联网快捷方式文件（“photo_2023-12-29.jpg.url”）。

fxbulls.ru 上的登陆页面包含一个指向恶意 WebDAV 共享的链接，其中包含精心设计的视图。当用户单击此链接时，浏览器会提示他们在 Windows 资源管理器中打开该链接，从而创建非恶意活动的欺骗性外观。

威胁行为者操纵搜索应用程序协议，用于调用 Windows 上的桌面搜索应用程序来传播恶意软件。恶意互联网快捷方式文件指向远程服务器上托管的另一个互联网快捷方式文件（“2.url”），该文件又指向同一服务器上 ZIP 存档中的 CMD shell 脚本（“a2.zip/a2”） .cmd”）。

这种非传统的引用方法旨在规避 SmartScreen，因为它无法正确应用 Web 标记 (MotW)，这是一个重要的 Windows 组件，可在用户打开或运行来自不受信任来源的文件时向用户发出警告。

该活动的最终目标是秘密传播 DarkMe Visual Basic 木马，同时向受害者显示股票图表，从而在整个利用和感染过程中保持欺骗性。 DarkMe 具有下载和执行附加指令、向命令与控制 (C2) 服务器注册以及从受感染系统收集信息的功能。