Logiciel malveillant DarkMe

Une vulnérabilité de sécurité récemment révélée dans Microsoft Defender SmartScreen a été utilisée comme exploit zero-day par un groupe de menaces persistantes avancées connu sous le nom de Water Hydra, également identifié sous le nom de DarkCasino. Les principales cibles de cette attaque sont les individus impliqués dans les transactions sur les marchés financiers. Les chercheurs ont découvert cette campagne malveillante en décembre 2023.

Les attaquants profitent de CVE-2024-21412, une vulnérabilité de contournement de sécurité associée aux fichiers de raccourci Internet (.URL). Dans la séquence d'attaque, l'acteur malveillant utilise CVE-2024-21412 pour contourner Microsoft Defender SmartScreen et introduire le malware DarkMe pour infecter les victimes sans méfiance.

Microsoft a depuis corrigé cette vulnérabilité dans sa mise à jour du Patch Tuesday de février. Selon l'entreprise, un pirate informatique non authentifié pourrait profiter de la faille en envoyant un fichier spécialement conçu à l'utilisateur ciblé, lui permettant ainsi de contourner les contrôles de sécurité. Cependant, le succès de l'exploitation dépend de la capacité de l'acteur malveillant à convaincre la victime de cliquer sur le lien du fichier et d'afficher le contenu contrôlé par l'attaquant.

Le logiciel malveillant DarkMe est déployé via une chaîne d'attaque à plusieurs étapes

DarkMe présente la capacité non seulement de télécharger et d'exécuter des instructions supplémentaires, mais également de s'enregistrer auprès d'un serveur de commande et de contrôle (C2) et de collecter des informations sur le système compromis.

Au cours du processus d'infection observé, l'exploit CVE-2024-21412 est utilisé pour déployer un fichier d'installation nuisible (« 7z.msi »). Ceci est réalisé en incitant les victimes à cliquer sur une URL piégée (« fxbulls.ru »), qui est diffusée via les forums de trading forex. Le leurre est présenté sous couvert de partage d’un lien vers une image boursière. Cependant, le contenu réel du lien est un fichier de raccourci Internet (« photo_2023-12-29.jpg.url »).

La page de destination de « fxbulls.ru » contient un lien menant à un partage WebDAV menaçant avec une vue filtrée soigneusement conçue. Lorsque les utilisateurs cliquent sur ce lien, le navigateur les invite à l'ouvrir dans l'Explorateur Windows. Notamment, cela ne déclenche pas d’invite de sécurité, ce qui pourrait amener l’utilisateur à négliger la nature dangereuse du lien.

Un aspect remarquable de ce schéma est l'exploitation par l'acteur malveillant du protocole d'application de recherche, couramment utilisé pour appeler l'application de recherche de bureau sous Windows. Ce protocole a été utilisé à mauvais escient dans le passé pour diffuser des logiciels malveillants. La manipulation intelligente de ce protocole par l'acteur ajoute une couche supplémentaire de tromperie au processus d'infection.

Les groupes APT (Advanced Persistent Threat) exploitent souvent des vulnérabilités Zero Day

Cette approche distinctive du référencement utilisée dans la chaîne d'infection DarkMe découle de l'utilisation d'un raccourci dans un autre raccourci, qui s'est avérée efficace pour contourner SmartScreen. Dans ce cas, SmartScreen ne parvient pas à appliquer correctement la marque du Web (MotW), un composant Windows crucial conçu pour alerter les utilisateurs lors de l'ouverture ou de l'exécution de fichiers provenant de sources non fiables.

L'objectif ultime de cette campagne est de diffuser subrepticement en arrière-plan un cheval de Troie Visual Basic connu sous le nom de DarkMe. Simultanément, la campagne entretient une façade trompeuse en affichant un graphique boursier à la victime, dissimulant ainsi la véritable nature de la chaîne d’exploitation et d’infection.

Il convient de noter que les vulnérabilités Zero Day récemment découvertes, souvent identifiées par les groupes de cybercriminalité, peuvent se retrouver dans les arsenaux des groupes de piratage informatique des États-nations. Ces attaquants sophistiqués, tels que Water Hydra, possèdent l'expertise technique et les outils nécessaires pour découvrir et exploiter les vulnérabilités du jour zéro dans les campagnes avancées. Cela leur permet de déployer des logiciels malveillants hautement destructeurs comme DarkMe, démontrant ainsi leur capacité à exécuter des attaques complexes et puissantes.