Een nieuw onthuld beveiligingslek in Microsoft Defender SmartScreen is uitgebuit als een zero-day door een geavanceerde aanhoudende dreigingsactor genaamd Water Hydra (ook bekend als DarkCasino) die zich richt op handelaren op de financiële markt.
Trend Micro, dat eind december 2023 begon met het volgen van de campagne, zei dat het om misbruik gaat van CVE-2024-21412, een beveiligingslek dat verband houdt met internetsnelkoppelingsbestanden (.URL).
“In deze aanvalsketen heeft de bedreigingsacteur CVE-2024-21412 gebruikt om Microsoft Defender SmartScreen te omzeilen en slachtoffers te infecteren met de DarkMe-malware”, aldus het cyberbeveiligingsbedrijf in een rapport van dinsdag.
Microsoft, dat de fout verhelpt in de Patch Tuesday-update van februari, zei dat een niet-geverifieerde aanvaller de fout zou kunnen misbruiken door de beoogde gebruiker een speciaal vervaardigd bestand te sturen om de weergegeven beveiligingscontroles te omzeilen.
Succesvolle exploitatie is echter afhankelijk van de voorwaarde dat de bedreigingsactor het slachtoffer overtuigt om op de bestandslink te klikken om de door de aanvaller gecontroleerde inhoud te bekijken.
De door Trend Micro gedocumenteerde infectieprocedure maakt misbruik van CVE-2024-21412 om een kwaadaardig installatiebestand (“7z.msi”) te plaatsen door op een boobytrap-URL (“fxbulls) te klikken.[.]ru”) verspreid via forex handelsforums onder het voorwendsel van het delen van een link naar een aandelengrafiekafbeelding die in werkelijkheid een internetsnelkoppelingsbestand is (“photo_2023-12-29.jpg.url”).
“De landingspagina op fxbulls[.]ru bevat een link naar een kwaadaardige WebDAV-share met een gefilterde, vervaardigde weergave”, aldus beveiligingsonderzoekers Peter Girnus, Aliakbar Zahravi en Simon Zuckerbraun.
“Wanneer gebruikers op deze link klikken, zal de browser hen vragen de link in Windows Verkenner te openen. Dit is geen beveiligingsprompt, dus de gebruiker denkt misschien niet dat deze link kwaadaardig is.”
De slimme truc die dit mogelijk maakt, is het misbruik door de bedreigingsacteur van het search: application protocol, dat wordt gebruikt voor het aanroepen van de desktopzoekapplicatie op Windows en dat in het verleden is misbruikt om malware af te leveren.
Het frauduleuze internetsnelkoppelingsbestand verwijst op zijn beurt naar een ander internetsnelkoppelingsbestand dat wordt gehost op een externe server (“2.url”), dat op zijn beurt verwijst naar een CMD-shellscript in een ZIP-archief dat op dezelfde server wordt gehost ( “a2.zip/a2.cmd”).
Deze ongebruikelijke verwijzing komt voort uit het feit dat “het aanroepen van een snelkoppeling binnen een andere snelkoppeling voldoende was om SmartScreen te omzeilen, dat er niet in slaagde Mark of the Web (MotW) correct toe te passen, een essentieel Windows-onderdeel dat gebruikers waarschuwt bij het openen of uitvoeren van bestanden van een niet-vertrouwde bron .”
Het einddoel van de campagne is om een Visual Basic-trojan, bekend als DarkMe, heimelijk op de achtergrond af te leveren, terwijl de aandelengrafiek aan het slachtoffer wordt weergegeven om de list in stand te houden na voltooiing van de uitbuitings- en infectieketen.
DarkMe wordt geleverd met mogelijkheden om aanvullende instructies te downloaden en uit te voeren, naast het registreren van zichzelf bij een command-and-control (C2)-server en het verzamelen van informatie van het aangetaste systeem.
De ontwikkeling komt te midden van een nieuwe trend waarbij zero-days gevonden door cybercriminaliteitsgroepen uiteindelijk worden opgenomen in aanvalsketens die worden ingezet door nationale hackgroepen om geavanceerde aanvallen uit te voeren.
“Water Hydra beschikt over de technische kennis en hulpmiddelen om zero-day-kwetsbaarheden in geavanceerde campagnes te ontdekken en te exploiteren, waarbij zeer destructieve malware zoals DarkMe wordt ingezet”, aldus de onderzoekers.
