DarkMe 惡意軟體利用已知漏洞

最近披露的 Microsoft Defender SmartScreen 中的一個安全漏洞已被名為 Water Hydra（也稱為 DarkCasino）的高級持續威脅攻擊者利用作為零日攻擊。活動的目標是參與金融市場交易的個人。

於 2023 年 12 月下旬開始追蹤此活動的研究人員透露，該漏洞利用涉及 CVE-2024-21412，這是一個與網路快速檔案 (.URL) 相關的安全繞過漏洞。根據該網路安全公司週二發布的一份報告，威脅行為者使用 CVE-2024-21412 繞過 Microsoft Defender SmartScreen 並向受害者引入 DarkMe 惡意軟體。

微軟在二月補丁星期二更新中解決了這個缺陷，承認未經授權的攻擊者可以透過向目標用戶發送特製檔案來利用漏洞，從而繞過安全檢查。

DarkMe 透過惡意 MSI 安裝程式分發

漏洞利用的成功取決於威脅行為者說服受害者點擊文件連結並查看攻擊者控制的內容。研究人員概述了感染過程，詳細說明如何利用 CVE-2024-21412 透過假裝在外匯交易論壇上分發的誘殺 URL（「fxbulls.ru」）投放惡意安裝程式檔案（「7z.msi」）共享股票圖表圖像的鏈接，該圖像實際上是一個互聯網快捷方式文件（“photo_2023-12-29.jpg.url”）。

fxbulls.ru 上的登陸頁麵包含一個指向惡意 WebDAV 共享的鏈接，其中包含精心設計的視圖。當用戶單擊此鏈接時，瀏覽器會提示他們在 Windows 資源管理器中打開該鏈接，從而創建非惡意活動的欺騙性外觀。

威脅行為者操縱搜尋應用程式協議，用於呼叫 Windows 上的桌面搜尋應用程式來傳播惡意軟體。惡意網路捷徑檔案指向遠端伺服器上託管的另一個網路捷徑檔案（「2.url」），該檔案指向同一伺服器上 ZIP 檔案中的 CMD shell 腳本（「a2.zip/a2」） .cmd ”）。

這種非常規的參考方法旨在規避 SmartScreen，後者無法正確應用 Web 標記 (MotW)，這是一個重要的 Windows 元件，可在使用者開啟或執行來自不受信任來源的檔案時發出警告。

活動的最終目標是秘密傳播 DarkMe Visual Basic 木馬，同時向受害者顯示股票圖表，從而在整個利用和感染過程中保持欺騙性。 DarkMe 具有下載和執行附加指令、向命令與控制 (C2) 伺服器註冊以及從受感染系統收集資訊的功能。