Microsoft Defender SmartScreen’de yeni açıklanan bir güvenlik açığı, finans piyasası yatırımcılarını hedef alan Water Hydra (diğer adıyla DarkCasino) adlı gelişmiş bir kalıcı tehdit aktörü tarafından sıfır gün olarak kullanıldı.
Kampanyayı Aralık 2023’ün sonlarında izlemeye başlayan Trend Micro, bunun İnternet Kısayol Dosyaları (.URL) ile ilgili bir güvenlik atlama güvenlik açığı olan CVE-2024-21412’den yararlanılmasını gerektirdiğini söyledi.
Siber güvenlik firması, “Bu saldırı zincirinde tehdit aktörü, Microsoft Defender SmartScreen’i atlatmak ve kurbanlara DarkMe kötü amaçlı yazılımını bulaştırmak için CVE-2024-21412’den yararlandı” dedi. söz konusu Salı günü yayınlanan bir raporda.
Şubat Yaması Salı güncellemesinde kusuru ele alan Microsoft, kimliği doğrulanmamış bir saldırganın, görüntülenen güvenlik kontrollerini atlamak için hedeflenen kullanıcıya özel hazırlanmış bir dosya göndererek bu kusurdan yararlanabileceğini söyledi.
Ancak başarılı bir istismar, tehdit aktörünün kurbanı, saldırganın kontrolündeki içeriği görüntülemek için dosya bağlantısına tıklamaya ikna etmesi önkoşuluna dayanır.
Trend Micro tarafından belgelenen bulaşma prosedürü, bubi tuzaklı bir URL’ye (“fxbulls) tıklayarak kötü amaçlı bir yükleyici dosyasını (“7z.msi”) bırakmak için CVE-2024-21412’yi kullanıyor[.]ru”), gerçekte bir internet kısayol dosyası olan (“photo_2023-12-29.jpg.url”) bir hisse senedi grafiği görselinin bağlantısını paylaşma bahanesiyle forex ticaret forumları aracılığıyla dağıtılmaktadır.
“Fxbulls’daki açılış sayfası[.]Güvenlik araştırmacıları Peter Girnus, Aliakbar Zahravi ve Simon Zuckerbraun, ru’nun filtrelenmiş hazırlanmış görünüme sahip kötü amaçlı bir WebDAV paylaşımına bağlantı içerdiğini söyledi.
“Kullanıcılar bu bağlantıya tıkladığında, tarayıcı onlardan bağlantıyı Windows Gezgini’nde açmalarını isteyecek. Bu bir güvenlik istemi değil, dolayısıyla kullanıcı bu bağlantının kötü amaçlı olduğunu düşünmeyebilir.”
Bunu mümkün kılan akıllıca hile, tehdit aktörünün Windows’ta masaüstü arama uygulamasını çağırmak için kullanılan ve geçmişte kötü amaçlı yazılım dağıtmak için kötüye kullanılan arama: uygulama protokolünü kötüye kullanmasıdır.
Sahte internet kısayol dosyası, uzak bir sunucuda barındırılan başka bir internet kısayol dosyasına (“2.url”) işaret eder ve bu da aynı sunucuda barındırılan bir ZIP arşivi içindeki bir CMD kabuk komut dosyasına işaret eder ( “a2.zip/a2.cmd”).
Bu olağandışı referans, “başka bir kısayol içinde bir kısayolun çağrılmasının, güvenilmeyen bir kaynaktan dosya açarken veya çalıştırırken kullanıcıları uyaran kritik bir Windows bileşeni olan Web İşareti’ni (MotW) düzgün şekilde uygulayamayan SmartScreen’den kaçmak için yeterli olduğu” gerçeğinden kaynaklanıyor “
Kampanyanın nihai hedefi, DarkMe olarak bilinen bir Visual Basic truva atını arka planda gizlice dağıtırken, istismar ve enfeksiyon zincirinin tamamlanmasının ardından hileyi sürdürmek için kurbana stok grafiğini göstermektir.
DarkMe, kendisini bir komuta ve kontrol (C2) sunucusuna kaydettirmenin ve güvenliği ihlal edilmiş sistemden bilgi toplamanın yanı sıra ek talimatları indirme ve yürütme yetenekleriyle birlikte gelir.
Bu gelişme, siber suç gruplarının bulduğu sıfır günlerin, karmaşık saldırılar başlatmak için ulus devlet bilgisayar korsanlığı gruplarının konuşlandırdığı saldırı zincirlerine dahil edildiği yeni bir trendin ortasında ortaya çıkıyor.
Araştırmacılar, “Water Hydra, DarkMe gibi son derece yıkıcı kötü amaçlı yazılımları dağıtarak gelişmiş kampanyalarda sıfır gün güvenlik açıklarını keşfedip bunlardan yararlanacak teknik bilgi ve araçlara sahip” dedi.