DarkMe マルウェアは Microsoft SmartScreen ゼロデイ経由でトレーダーをターゲットにします

Darkme Malware Targets Traders Via Microsoft Smartscreen Zero Day

金融トレーダーは、Water Hydra グループの DarkMe マルウェアに注意を払う必要があります。 Microsoft Defender SmartScreen のゼロデイ脆弱性を利用して PC を攻撃する可能性があります。 MiniTool ソフトウェア見慣れないリンクを勝手にクリックしないようにし、システムを常に最新の状態に保つように注意してください。

DarkMe マルウェアが Microsoft SmartScreen のゼロデイ脆弱性を悪用して金融トレーダーを狙う

Trend Micro Zero Day Initiative は、ZDI-CAN-23100 として追跡される脆弱性 CVE-2024-21412 を発見しました。トレンドマイクロはマイクロソフトに警告を送信しました。このマルウェアは、Water Hydra (DarkCasino とも呼ばれる) として知られる Advanced Persistent Threat (APT) グループによって組織化された高度なゼロデイ攻撃チェーンであり、Microsoft Defender SmartScreen のバイパスを利用して金融市場のトレーダーを標的にしました。

2023 年 12 月下旬から、トレンドマイクロの監視活動により、インターネットショートカット (.URL) や WebDAV コンポーネントの悪用を含む、類似のツール、戦術、手順 (TTP) を使用する Water Hydra グループによるキャンペーンが検出されました。攻撃者は、この攻撃シーケンス内で CVE-2024-21412 を悪用し、Microsoft Defender SmartScreen を回避し、被害者のシステムに DarkMe マルウェアを展開しました。

Water Hydra APT グループとは何ですか?

2021 年に初めて確認された Water Hydra グループは、金融セクターに焦点を当て、世界中の銀行、仮想通貨プラットフォーム、外国為替および株式取引プラットフォーム、ギャンブルサイト、カジノに対して攻撃を開始したことですぐに悪名を高めました。

当初、このグループの活動は、同様のフィッシング手法やその他の戦術、技術、手順 (TTP) を使用していたため、Evilnum APT グループによるものと考えられていました。しかし、2022 年 9 月、NSFOCUS の研究者は、特にヨーロッパのトレーダーとギャンブルプラットフォームをターゲットとした DarkCasino と呼ばれるキャンペーン内で、DarkMe として知られる VisualBasic リモートアクセスツール (RAT) を発見しました。

広く知られている WinRAR コード実行の脆弱性 CVE-2023-38831 を利用して株式トレーダーをターゲットにしたキャンペーンを含む、いくつかの連続したキャンペーンの後、2023 年 11 月までに、Water Hydra が Evilnum とは別の別個の APT グループとして動作していることが明らかになりました。

詳細については、次のブログをご覧ください。 CVE-2024-21412: Water Hydra が Microsoft Defender SmartScreen ゼロデイでトレーダーを標的にする。

DarkMe マルウェアからデバイスを保護する方法?

DarkMe マルウェアからの攻撃を回避するには、次のことを行うことができます。

見慣れないリンクを開かないでください

Microsoft は 2 月のパッチ火曜日アップデートで脆弱性に対処し、悪意のある攻撃者が注意深く作成したファイルを目的の受信者に送信することでこの脆弱性を悪用し、確立されたセキュリティ対策を回避する可能性があると警告しました。

ただし、攻撃が成功するには、受信者がファイルリンクをクリックし、攻撃者が制御するコンテンツにアクセスする必要があります。 。

トレンドマイクロの分析によると、感染プロセスには CVE-2024-21412 を利用して、 7z.msi 。

これは、受信者が悪意のあるリンク ( fxbulls[.]ru ）、通常は外国為替取引フォーラムを通じて配布されます。

株価チャート画像へのリンクに見せかけたこの URL は、実際には () という名前のインターネットショートカットファイルにユーザーを誘導します。 photo_2023-12-29.jpg.url ）。

したがって、デバイスを DarkMe マルウェアから保護するには、疑わしいリンクをクリックして開かないでください。

Windows を最新の状態に保つ

Microsoft は Windows のアップデートをリリースし続けており、これらのアップデートには常に、見つかった脆弱性の修正と Windows セキュリティのアップデートが含まれています。コンピューターを安全に保つために、最新の Windows 更新プログラムが利用可能な場合は、それをインストールする必要があります。

Windows 10 では、次の場所に移動できます。 [スタート] > [設定] > [アップデートとセキュリティ] アップデートを確認し、利用可能なアップデートをインストールします。
Windows 11 では、次の場所に移動できます。 [スタート] > [設定] > [Windows Update] アップデートを確認し、利用可能なアップデートをインストールします。

さらに、次のことができます自動更新を有効にする Windows コンピュータ上で。

ウイルス対策ソフトウェアを使用する

DarkMe マルウェアや他の種類のマルウェアからの脅威を回避するには、ウイルス対策ソフトウェアも必要です。たとえば、Windows セキュリティで必要な保護機能をすべて有効にすることをお勧めします。さらに、Bitdefender Antivirus、Norton AntiVirus、McAfee AntiVirus などのサードパーティのウイルス対策ソフトウェアをインストールすることもできます。