Malware DarkMe

Una vulnerabilidad de seguridad recientemente revelada en Microsoft Defender SmartScreen ha sido utilizada como un exploit de día cero por un grupo de amenazas persistentes avanzado conocido como Water Hydra, también identificado como DarkCasino. Los objetivos principales de este ataque son personas involucradas en operaciones en los mercados financieros. Los investigadores descubrieron esta campaña maliciosa en diciembre de 2023.

Los atacantes se aprovechan de CVE-2024-21412, una vulnerabilidad de elusión de seguridad asociada con archivos de acceso directo a Internet (.URL). En la secuencia de ataque, el actor de amenazas utiliza CVE-2024-21412 para eludir Microsoft Defender SmartScreen e introducir el malware DarkMe para infectar a víctimas desprevenidas.

Desde entonces, Microsoft ha abordado esta vulnerabilidad en su actualización del martes de parches de febrero. Según la empresa, un pirata informático no autenticado podría aprovechar la falla enviando un archivo especialmente diseñado al usuario objetivo, permitiéndole eludir los controles de seguridad. Sin embargo, el éxito de la explotación depende de que el actor de la amenaza convenza a la víctima de hacer clic en el enlace del archivo y ver el contenido controlado por el atacante.

El malware DarkMe se implementa mediante una cadena de ataques de varias etapas

DarkMe exhibe la capacidad no solo de descargar y ejecutar instrucciones adicionales, sino también de registrarse en un servidor de comando y control (C2) y recopilar información del sistema comprometido.

Durante el proceso de infección observado, se emplea el exploit CVE-2024-21412 para implementar un archivo de instalación dañino ('7z.msi'). Esto se logra incitando a las víctimas a hacer clic en una URL con trampa explosiva ('fxbulls.ru'), que se difunde a través de foros de comercio de divisas. El señuelo se presenta con el pretexto de compartir un enlace a una imagen de gráfico de acciones. Sin embargo, el contenido real del enlace es un archivo de acceso directo a Internet ('photo_2023-12-29.jpg.url').

La página de inicio en 'fxbulls.ru' presenta un enlace que conduce a un recurso compartido WebDAV amenazante con una vista filtrada cuidadosamente diseñada. Cuando los usuarios hacen clic en este enlace, el navegador les solicita que lo abran en el Explorador de Windows. En particular, esto no activa un mensaje de seguridad, lo que podría llevar al usuario a pasar por alto la naturaleza insegura del enlace.

Un aspecto digno de mención de este esquema es la explotación por parte del actor de amenazas del protocolo de la aplicación de búsqueda, comúnmente utilizado para llamar a la aplicación de búsqueda de escritorio en Windows. Este protocolo se ha utilizado indebidamente en el pasado para distribuir malware. La inteligente manipulación de este protocolo por parte del actor añade una capa adicional de engaño al proceso de infección.

Los grupos APT (amenaza persistente avanzada) a menudo explotan las vulnerabilidades de día cero

Este enfoque distintivo de referencia utilizado en la cadena de infección DarkMe surge de la utilización de un atajo dentro de otro atajo, que ha demostrado ser eficaz para eludir SmartScreen. En este caso, SmartScreen no aplica adecuadamente la Marca de la Web (MotW), un componente crucial de Windows diseñado para alertar a los usuarios cuando abren o ejecutan archivos de fuentes no confiables.

El objetivo final de esta campaña es distribuir subrepticiamente en segundo plano un troyano de Visual Basic conocido como DarkMe. Al mismo tiempo, la campaña mantiene una fachada engañosa al mostrar un gráfico bursátil a la víctima, ocultando la verdadera naturaleza de la cadena de explotación e infección.

Es digno de mención que las vulnerabilidades de día cero recientemente descubiertas, a menudo identificadas por grupos de delitos cibernéticos, pueden llegar a los arsenales de los grupos de piratería de los Estados-nación. Estos atacantes sofisticados, como Water Hydra, poseen la experiencia técnica y las herramientas necesarias para descubrir y explotar vulnerabilidades de día cero en campañas avanzadas. Esto les permite implementar malware altamente destructivo como DarkMe, mostrando su capacidad para ejecutar ataques complejos y potentes.