Недавно обнаруженная брешь в системе безопасности Microsoft Defender SmartScreen была использована в качестве уязвимости нулевого дня продвинутым субъектом постоянной угрозы под названием Water Hydra (он же DarkCasino), нацеленной на трейдеров финансового рынка.
Trend Micro, которая начала отслеживать кампанию в конце декабря 2023 года, заявила, что она влечет за собой использование CVE-2024-21412, уязвимости обхода безопасности, связанной с файлами быстрого доступа в Интернете (.URL).
"В этой цепочке атак злоумышленник использовал CVE-2024-21412, чтобы обойти Microsoft Defender SmartScreen и заразить жертв вредоносным ПО DarkMe", - говорится в отчете компании по кибербезопасности, опубликованном во вторник.
Корпорация Microsoft, которая устранила ошибку в своем февральском обновлении во вторник, заявила, что злоумышленник, не прошедший проверку подлинности, может воспользоваться этой ошибкой, отправив целевому пользователю специально созданный файл, чтобы обойти отображаемые проверки безопасности.
Однако успешное использование зависит от предварительного условия, при котором субъект угрозы убеждает жертву нажать на ссылку на файл, чтобы просмотреть контент, контролируемый злоумышленником.
Процедура заражения, задокументированная Trend Micro, использует CVE-2024-21412 для удаления вредоносного установочного файла ("7z.msi") путем нажатия на заминированный URL-адрес ("fxbulls[.] ru"), распространяемый через форумы форекс-трейдинга под предлогом обмена ссылкой на изображение биржевого графика, которое на самом деле является файлом быстрого доступа в Интернете ("photo_2023-12-29.jpg.url").
"Целевая страница на fxbulls [.] ru содержит ссылку на вредоносный веб-файл с отфильтрованным обработанным представлением", - заявили исследователи безопасности Питер Гирнус, Алиакбар Захрави и Саймон Цукербраун.
"Когда пользователи нажимают на эту ссылку, браузер запрашивает их открыть ссылку в проводнике Windows. Это не запрос системы безопасности, поэтому пользователь может не подумать, что эта ссылка вредоносная".
Хитрый трюк, делающий это возможным, заключается в злоупотреблении субъектом угрозы протоколом поиска: приложений, который используется для вызова приложения поиска на рабочем столе в Windows и которым в прошлом злоупотребляли для доставки вредоносного ПО.
Вредоносный файл быстрого доступа к Интернету, со своей стороны, указывает на другой файл быстрого доступа к Интернету, размещенный на удаленном сервере ("2.url"), который, в свою очередь, указывает на сценарий командной строки в ZIP-архиве, размещенном на том же сервере ("a2.zip / a2.cmd").
Эта необычная ссылка связана с тем фактом, что "вызова ярлыка в другом ярлыке было достаточно, чтобы обойти SmartScreen, который не смог должным образом применить Mark of the Web (MotW), критически важный компонент Windows, который предупреждает пользователей об открытии или запуске файлов из ненадежного источника".
Конечная цель кампании - незаметно доставить троянца Visual Basic, известного как DarkMe, в фоновом режиме, одновременно отображая жертве график акций, чтобы продолжить уловку после завершения цепочки эксплуатации и заражения.
DarkMe предоставляет возможности для загрузки и выполнения дополнительных инструкций, наряду с регистрацией на сервере командования и контроля (C2) и сбором информации из скомпрометированной системы.
Разработка происходит на фоне новой тенденции, когда нулевые дни, обнаруженные группами киберпреступности, в конечном итоге включаются в цепочки атак, развертываемые хакерскими группами государств для запуска сложных атак.
"Water Hydra обладает техническими знаниями и инструментами для обнаружения и использования уязвимостей нулевого дня в продвинутых кампаниях, внедряя высоконадежные вредоносные программы, такие как DarkMe", - заявили исследователи.
