Uma irregularidade de segurança recentemente divulgada no Microsoft Proteger SmartScreen foi explorada uma vez que dia zero por um ator de ameaço persistente e avançado chamado Water Hydra (também espargido uma vez que DarkCasino) visando comerciantes do mercado financeiro.
A Trend Micro, que começou a rastrear a campanha no final de dezembro de 2023, disse que ela envolve a exploração de CVE-2024-21412, uma vulnerabilidade de meandro de segurança relacionada a arquivos de caminho da Internet (.URL).
“Nesta masmorra de ataque, o ator da ameaço aproveitou o CVE-2024-21412 para contornar o Microsoft Proteger SmartScreen e infectar as vítimas com o malware DarkMe”, disse a empresa de segurança cibernética em um relatório de terça-feira.
A Microsoft, que corrigiu a irregularidade em sua atualização Patch Tuesday de fevereiro, disse que um invasor não autenticado poderia explorar a irregularidade enviando ao usuário cândido um registro principalmente criado para contornar as verificações de segurança exibidas.
No entanto, a exploração bem-sucedida baseia-se no pré-requisito de que o responsável da ameaço convença a vítima a clicar no link do registro para visualizar o teor controlado pelo invasor.
O procedimento de infecção documentado pela Trend Micro explora CVE-2024-21412 para descartar um registro de instalação malicioso (“7z.msi”) clicando em um URL com insídia (“fxbulls(.)ru”) distribuído através de fóruns de negociação forex sob o pretexto de compartilhar um link para uma imagem de stock chart que, na verdade, é um registro de caminho da internet (“photo_2023-12-29.jpg.url”).
“A página de tramontana em fxbulls(.)ru contém um link para um compartilhamento WebDAV malicioso com uma visualização filtrada”, disseram os pesquisadores de segurança Peter Girnus, Aliakbar Zahravi e Simon Zuckerbraun.
“Quando os usuários clicam neste link, o navegador solicitará que abram o link no Windows Explorer. Leste não é um aviso de segurança, portanto o usuário pode não pensar que nascente link é malicioso.”
O truque inteligente que torna isso verosímil é o ataque do protocolo de pesquisa: aplicativo por secção do agente da ameaço, que é usado para invocar o aplicativo de pesquisa de desktop no Windows e foi usado no pretérito para entregar malware.
O registro de caminho de Internet não autorizado, por sua vez, aponta para outro registro de caminho de Internet hospedado em um servidor remoto (“2.url”), que, por sua vez, aponta para um script de shell CMD dentro de um registro ZIP hospedado no mesmo servidor ( “a2.zip/a2.cmd”).
Essa referência incomum decorre do vestimenta de que “invocar um caminho dentro de outro caminho foi suficiente para evadir do SmartScreen, que não conseguiu impor corretamente o Mark of the Web (MotW), um componente crítico do Windows que alerta os usuários ao perfurar ou executar arquivos de uma manadeira não confiável .”
O objetivo final da campanha é entregar um trojan Visual Basic espargido uma vez que DarkMe furtivamente em segundo projecto enquanto exibe o gráfico de ações para a vítima para manter o estratagema depois a epílogo da masmorra de exploração e infecção.
DarkMe vem com recursos para decrescer e executar instruções adicionais, além de registrar-se em um servidor de comando e controle (C2) e coletar informações do sistema comprometido.
O desenvolvimento surge no meio de uma novidade tendência em que os dias zero encontrados por grupos de crimes cibernéticos acabam por ser incorporados em cadeias de ataques implementadas por grupos de hackers de estados-nação para lançar ataques sofisticados.
“A Water Hydra possui o conhecimento técnico e as ferramentas para deslindar e explorar vulnerabilidades de dia zero em campanhas avançadas, implantando malware altamente destrutivo uma vez que o DarkMe”, disseram os pesquisadores.