DarkMe-Malware

Eine kürzlich aufgedeckte Sicherheitslücke in Microsoft Defender SmartScreen wurde als Zero-Day-Exploit von einer hochentwickelten, hartnäckigen Bedrohungsgruppe namens Water Hydra, auch bekannt als DarkCasino, ausgenutzt. Die Hauptziele dieses Angriffs sind Einzelpersonen, die am Finanzmarkthandel beteiligt sind. Die Forscher entdeckten diese bösartige Kampagne im Dezember 2023.

Die Angreifer nutzen CVE-2024-21412 aus, eine Sicherheitslücke im Zusammenhang mit Internet Shortcut Files (.URL). In der Angriffssequenz nutzt der Bedrohungsakteur CVE-2024-21412, um Microsoft Defender SmartScreen zu umgehen und die DarkMe-Malware einzuschleusen, um ahnungslose Opfer zu infizieren.

Microsoft hat diese Schwachstelle inzwischen in seinem Februar-Patch-Tuesday-Update behoben. Nach Angaben des Unternehmens könnte ein nicht authentifizierter Hacker die Schwachstelle ausnutzen, indem er eine speziell gestaltete Datei an den Zielbenutzer weiterleitet und es ihm so ermöglicht, Sicherheitsüberprüfungen zu umgehen. Der Erfolg der Ausnutzung hängt jedoch davon ab, dass der Bedrohungsakteur das Opfer davon überzeugt, auf den Dateilink zu klicken und den vom Angreifer kontrollierten Inhalt anzuzeigen.

Die DarkMe-Malware wird über eine mehrstufige Angriffskette bereitgestellt

DarkMe verfügt nicht nur über die Fähigkeit, zusätzliche Anweisungen herunterzuladen und auszuführen, sondern kann sich auch bei einem Command-and-Control-Server (C2) registrieren und Informationen vom kompromittierten System sammeln.

Während des beobachteten Infektionsprozesses wird der Exploit von CVE-2024-21412 genutzt, um eine schädliche Installationsdatei („7z.msi“) bereitzustellen. Dies wird erreicht, indem die Opfer dazu verleitet werden, auf eine mit Sprengfallen versehene URL („fxbulls.ru“) zu klicken, die über Forex-Handelsforen verbreitet wird. Die Verlockung wird unter dem Vorwand präsentiert, einen Link zu einem Bild eines Aktiencharts zu teilen. Der eigentliche Inhalt des Links ist jedoch eine Internet-Verknüpfungsdatei („photo_2023-12-29.jpg.url“).

Die Zielseite auf „fxbulls.ru“ enthält einen Link, der zu einer bedrohlichen WebDAV-Freigabe mit einer sorgfältig gestalteten gefilterten Ansicht führt. Wenn Benutzer auf diesen Link klicken, werden sie vom Browser aufgefordert, ihn im Windows Explorer zu öffnen. Insbesondere löst dies keine Sicherheitsabfrage aus, was möglicherweise dazu führt, dass der Benutzer die unsichere Natur des Links übersieht.

Ein bemerkenswerter Aspekt dieses Schemas ist die Ausnutzung des Suchanwendungsprotokolls durch den Bedrohungsakteur, das häufig zum Aufrufen der Desktop-Suchanwendung unter Windows verwendet wird. Dieses Protokoll wurde in der Vergangenheit zur Verbreitung von Schadsoftware missbraucht. Die geschickte Manipulation dieses Protokolls durch den Akteur fügt dem Infektionsprozess eine zusätzliche Ebene der Täuschung hinzu.

APT-Gruppen (Advanced Persistent Threat) nutzen häufig Zero-Day-Schwachstellen aus

Dieser besondere Referenzierungsansatz in der DarkMe-Infektionskette ergibt sich aus der Verwendung einer Verknüpfung innerhalb einer anderen Verknüpfung, die sich bei der Umgehung von SmartScreen als wirksam erwiesen hat. In diesem Fall wendet SmartScreen das Mark of the Web (MotW) nicht ordnungsgemäß an, eine wichtige Windows-Komponente, die Benutzer warnen soll, wenn sie Dateien aus nicht vertrauenswürdigen Quellen öffnen oder ausführen.

Das ultimative Ziel dieser Kampagne ist die heimliche Verbreitung eines Visual Basic-Trojaners namens DarkMe im Hintergrund. Gleichzeitig erhält die Kampagne eine trügerische Fassade aufrecht, indem sie dem Opfer ein Aktiendiagramm zeigt und so die wahre Natur der Ausbeutungs- und Infektionskette verschleiert.

Es ist bemerkenswert, dass neu entdeckte Zero-Day-Schwachstellen, die häufig von Cyberkriminalitätsgruppen identifiziert werden, ihren Weg in die Arsenale nationalstaatlicher Hackergruppen finden können. Diese raffinierten Angreifer wie Water Hydra verfügen über das technische Fachwissen und die Tools, die erforderlich sind, um Zero-Day-Schwachstellen in fortgeschrittenen Kampagnen aufzudecken und auszunutzen. Dadurch können sie äußerst zerstörerische Malware wie DarkMe einsetzen und so ihre Fähigkeit unter Beweis stellen, komplexe und wirkungsvolle Angriffe auszuführen.