Une faille de sécurité récemment révélée dans Microsoft Defender SmartScreen a été exploitée comme un jour zéro par un acteur de menace persistante avancée appelé Water Hydra (alias DarkCasino) ciblant les traders des marchés financiers.
Trend Micro, qui a commencé à suivre la campagne fin décembre 2023, a déclaré qu’elle impliquait l’exploitation de CVE-2024-21412, une vulnérabilité de contournement de sécurité liée aux fichiers de raccourci Internet (.URL).
« Dans cette chaîne d’attaques, l’acteur malveillant a exploité CVE-2024-21412 pour contourner Microsoft Defender SmartScreen et infecter les victimes avec le malware DarkMe », a déclaré la société de cybersécurité. dit dans un rapport de mardi.
Microsoft, qui a corrigé la faille dans sa mise à jour du Patch Tuesday de février, a déclaré qu’un attaquant non authentifié pourrait exploiter la faille en envoyant à l’utilisateur ciblé un fichier spécialement conçu afin de contourner les contrôles de sécurité affichés.
Cependant, une exploitation réussie repose sur la condition préalable que l’auteur de la menace convainque la victime de cliquer sur le lien du fichier pour afficher le contenu contrôlé par l’attaquant.
La procédure d’infection documentée par Trend Micro exploite CVE-2024-21412 pour supprimer un fichier d’installation malveillant (« 7z.msi ») en cliquant sur une URL piégée (« fxbulls[.]ru ») distribué via des forums de trading forex sous prétexte de partager un lien vers une image boursière qui, en réalité, est un fichier de raccourci Internet (« photo_2023-12-29.jpg.url »).
« La page d’accueil sur fxbulls[.]ru contient un lien vers un partage WebDAV malveillant avec une vue spécialement filtrée », ont déclaré les chercheurs en sécurité Peter Girnus, Aliakbar Zahravi et Simon Zuckerbraun.
« Lorsque les utilisateurs cliquent sur ce lien, le navigateur leur demande d’ouvrir le lien dans l’Explorateur Windows. Il ne s’agit pas d’une invite de sécurité, donc l’utilisateur ne peut pas penser que ce lien est malveillant. »
L’astuce astucieuse qui rend cela possible est l’abus par l’acteur malveillant du protocole d’application de recherche, qui est utilisé pour appeler l’application de recherche de bureau sous Windows et qui a été utilisé de manière abusive dans le passé pour diffuser des logiciels malveillants.
Le fichier de raccourci Internet malveillant, quant à lui, pointe vers un autre fichier de raccourci Internet hébergé sur un serveur distant (« 2.url »), qui, à son tour, pointe vers un script shell CMD au sein d’une archive ZIP hébergée sur le même serveur ( « a2.zip/a2.cmd »).
Ce référencement inhabituel vient du fait que « l’appel d’un raccourci dans un autre raccourci était suffisant pour échapper à SmartScreen, qui n’a pas réussi à appliquer correctement Mark of the Web (MotW), un composant Windows critique qui alerte les utilisateurs lors de l’ouverture ou de l’exécution de fichiers provenant d’une source non fiable. « .
L’objectif final de la campagne est de diffuser furtivement en arrière-plan un cheval de Troie Visual Basic connu sous le nom de DarkMe tout en affichant le graphique boursier à la victime afin de maintenir la ruse une fois la chaîne d’exploitation et d’infection terminée.
DarkMe est doté de fonctionnalités permettant de télécharger et d’exécuter des instructions supplémentaires, tout en s’enregistrant auprès d’un serveur de commande et de contrôle (C2) et en collectant des informations sur le système compromis.
Cette évolution intervient au milieu d’une nouvelle tendance selon laquelle les failles Zero Day découvertes par les groupes de cybercriminalité finissent par être intégrées dans des chaînes d’attaque déployées par des groupes de piratage informatiques au niveau des États-nations pour lancer des attaques sophistiquées.
« Water Hydra possède les connaissances techniques et les outils nécessaires pour découvrir et exploiter les vulnérabilités du jour zéro dans des campagnes avancées, en déployant des logiciels malveillants hautement destructeurs tels que DarkMe », ont déclaré les chercheurs.