DarkMe Malware Colpisce i Trader Utilizzando una Vulnerabilità Zero-Day di Microsoft SmartScreen
Una nuova vulnerabilità di sicurezza scoperta nel Microsoft Defender SmartScreen è stata sfruttata come zero-day da un attore di minaccia persistente avanzata chiamato Water Hydra (alias DarkCasino) per prendere di mira i trader dei mercati finanziari.
Trend Micro, che ha iniziato a monitorare la campagna alla fine di dicembre 2023, ha dichiarato che questa prevede lo sfruttamento della CVE-2024-21412, una vulnerabilità di bypass della sicurezza relativa ai file Internet Shortcut (.URL).
“In questa catena di attacco, l’attore di minaccia ha sfruttato la CVE-2024-21412 per aggirare il Microsoft Defender SmartScreen e infettare le vittime con il malware DarkMe”, ha dichiarato la società di cybersecurity in un rapporto pubblicato martedì.
Microsoft, che ha affrontato il problema nel suo aggiornamento di Patch Tuesday di febbraio, ha affermato che un attaccante non autenticato potrebbe sfruttare la vulnerabilità inviando all’utente prescelto un file appositamente creato al fine di eludere i controlli di sicurezza visualizzati.
Tuttavia, il successo dello sfruttamento dipende dal fatto che l’attore di minaccia riesca a convincere la vittima a fare clic sul link del file per visualizzare il contenuto controllato dall’attaccante.
La procedura di infezione documentata da Trend Micro sfrutta la CVE-2024-21412 per far cadere un file di installazione malevolo (“7z.msi”) cliccando su un URL trappola (“fxbulls[.]ru”) distribuito tramite forum di trading forex sotto il pretesto di condividere un link a un’immagine di grafico azionario che, in realtà, è un file shortcut di Internet (“photo_2023-12-29.jpg.url”).
L’obiettivo finale della campagna è quello di consegnare furtivamente un trojan Visual Basic noto come DarkMe in background mentre mostra il grafico azionario alla vittima per mantenere l’inganno al termine della catena di sfruttamento e infezione.
Il malware DarkMe è dotato di capacità di scaricare ed eseguire istruzioni aggiuntive, oltre a registrarsi con un server di comando e controllo (C2) e raccogliere informazioni dal sistema compromesso.
Lo sviluppo avviene in mezzo a una nuova tendenza in cui le vulnerabilità zero-day trovate dai gruppi di cybercrime vengono incorporate nelle catene di attacco utilizzate dai gruppi di hacking sponsorizzati dallo stato per lanciare attacchi sofisticati.
“Il gruppo Water Hydra possiede le conoscenze tecniche e gli strumenti per scoprire e sfruttare le vulnerabilità zero-day in campagne avanzate, distribuendo malware altamente distruttivo come DarkMe”, hanno affermato i ricercatori.