Νέα Zero-Day ευπάθεια, αποκαλύφθηκε στο Microsoft Defender SmartScreen και εκμεταλλεύτηκε από το DarkMe malware, γνωστό και ως Water Hydra (ή DarkCasino), που στοχεύει εμπόρους χρηματοπιστωτικών αγορών.
Η Trend Micro ανακοίνωσε ότι παρακολουθεί μια εκστρατεία από τα τέλη Δεκεμβρίου 2023, η οποία εκμεταλλεύεται το CVE-2024-21412, μια ασφαλείας παράκαμψη στα αρχεία συντομεύσεων Internet (.URL). Αναφέρει ότι ο χάκερ χρησιμοποίησε αυτή την ευπάθεια για να παρακάμψει το Microsoft Defender SmartScreen και να μολύνει τα θύματα με το κακόβουλο λογισμικό DarkMe.
Διαβάστε περισσότερα: Το DSLog backdoor εγκαθίσταται μέσω ευπάθειας SSRF στο Ivanti
Η Microsoft διόρθωσε το σφάλμα στην ενημερωμένη έκδοση του Φεβρουαρίου, αναφέροντας ότι ένας χάκερ μπορεί να εκμεταλλευτεί το σφάλμα αποστέλλοντας ένα ειδικά διαμορφωμένο αρχείο σε στοχευμένο χρήστη. Η επιτυχής εκμετάλλευση προϋποθέτει ότι το θύμα θα κάνει κλικ στον σύνδεσμο του αρχείου για να προβάλει το περιεχόμενο που ελέγχεται από τον εισβολέα.
Ο πρόσφατος εξελικτικός χώρος της κυβέρνησης αποκαλύπτει μια νέα τάση, όπου η ενσωμάτωση μηδενικών ημερών από εγκληματικές ομάδες σε εξελιγμένες αλυσίδες επιθέσεων από ομάδες χάκερ εθνικών κρατών γίνεται εμφανής. Ένα παράδειγμα αυτού είναι η διαδικασία μόλυνσης που εντοπίστηκε από την Trend Micro, η οποία εκμεταλλεύεται το CVE-2024-21412 για να απορρίψει ένα κακόβουλο αρχείο εγκατάστασης (“7z.msi”). Αυτή η διαδικασία αποτελείται από μια ακολουθία ενεργειών που στοχεύουν στην παράδοση του κακόβουλου λογισμικού DarkMe.
Το σενάριο ξεκινά με τη δημιουργία μιας ελκυστικής σύνδεσης σε ένα φόρουμ συναλλαγών forex μέσω μίας κακόβουλης συντόμευσης στο διαδίκτυο. Αυτή η σύνδεση οδηγεί σε ένα κακόβουλο κοινόχρηστο στοιχείο WebDAV, το οποίο ενεργοποιεί το πρωτόκολλο εφαρμογής και καταλήγει σε μια σειρά κακόβουλων συντομεύσεων και σεναρίων κελύφους CMD. Αυτά τα σενάρια εκτελούνται στο παρασκήνιο, εγκαθιστώντας τον ιό DarkMe, ενώ παράλληλα εμφανίζουν ένα γράφημα στον υπολογιστή του θύματος για να καλύψουν τις κακές προθέσεις τους.
Δείτε επίσης: CISA: Προσθέτει ευπάθεια του Chrome στον Κατάλογο KEV
Η κρίσιμη επιτυχία αυτής της επίθεσης οφείλεται στην κατάχρηση του πρωτοκόλλου εφαρμογής, το οποίο προηγουμένως χρησιμοποιήθηκε για τη διανομή κακόβουλου λογισμικού. Αυτό επιτρέπει στο DarkMe να παρακάμψει το SmartScreen, το οποίο απέτυχε να ανιχνεύσει το κακόβουλο λογισμικό. Το DarkMe διαθέτει σημαντικές δυνατότητες, συμπεριλαμβανομένης της λήψης και εκτέλεσης πρόσθετων εντολών, της σύνδεσης σε διακομιστή ελέγχου (C2) και της συλλογής πληροφοριών από το μολυσμένο σύστημα.
Πηγή: thehackernews.com
