Ultima serie de atacuri realizate de operațiunea de malware DarkGate exploatează o vulnerabilitate a Windows Defender SmartScreen, acum rezolvată, pentru a ocoli verificările de securitate și a instala automat instalatoare false de software.
SmartScreen este o caracteristică de securitate a Windows care afișează un avertisment atunci când utilizatorii încearcă să ruleze fișiere descărcate de pe internet care nu sunt recunoscute sau par suspecte.
Defecțiunea, identificată ca CVE-2024-21412, este o defecțiune a Windows Defender SmartScreen care permite fișierelor descărcate să treacă de aceste avertizări de securitate.
Atacatorii pot exploata defecțiunea creând un scurtătură de internet Windows (.fișierul .url) care indică către un alt fișier .url găzduit pe un server SMB la distanță, ceea ce ar determina ca fișierul de la locația finală să fie executat automat.
Microsoft a rezolvat defecțiunea la mijlocul lunii februarie, cu Trend Micro dezvăluind că grupul de hackeri Water Hydra, motivat financiar, a exploatat-o anterior ca zero-day pentru a instala malware-ul lor DarkMe pe sistemele traderilor.
Astăzi, analiștii de la Trend Micro au raportat că operatorii DarkGate exploatează aceeași defecțiune pentru a-și crește șansele de succes (infecție) pe sistemele țintite.
Acesta este un dezvoltare semnificativă pentru malware, care, împreună cu Pikabot, a umplut golul creat de perturbarea lui QBot vara trecută și este folosit de mai mulți infractori cibernetici pentru distribuția de malware.
Atacul începe cu un email malefic care include un atașament PDF cu linkuri care utilizează redirectările deschise de la serviciile Google DoubleClick Digital Marketing (DDM) pentru a ocoli verificările de securitate ale emailului.
Când o victimă dă clic pe link, este redirecționată către un server web compromis care găzduiește un fișier de scurtătură de internet. Acest fișier de scurtătură (.url) indică către un al doilea fișier de scurtătură găzduit pe un server WebDAV controlat de atacatori.
Folosind o scurtătură Windows pentru a deschide a doua scurtătură de pe un server la distanță exploatează eficient defecțiunea CVE-2024-21412, cauzând executarea automată a unui fișier MSI rău intenționat pe dispozitiv.
Aceste fișiere MSI se mascarează ca software legitime de la NVIDIA, aplicația Apple iTunes sau Notion.
La executarea instalatorului MSI, o altă defecțiune de încărcare laterală a DLL-ului implicând fișierul „libcef.dll” și un încărcător numit „sqlite3.dll” va decripta și executa payload-ul malware DarkGate pe sistem.
Odată ce este inițializat, malware-ul poate fura date, prelua încărcături suplimentare și le poate injecta în procesele care rulează, efectua înregistrări de taste și oferi atacatorilor acces la distanță în timp real.
Lanțul de infecție complex și multi-etapă folosit de operatorii DarkGate din mijlocul lunii ianuarie 2024 este rezumat în diagrama de mai jos:
Trend Micro spune că această campanie folosește versiunea 6.1.7 a DarkGate, care, în comparație cu versiunea mai veche 5, prezintă configurație XOR-criptată, opțiuni noi de configurare și actualizări ale valorilor comenzilor și controlului (C2).
Parametrii de configurare disponibili în DarkGate 6 îi permit operatorilor să determine diverse tactici operaționale și tehnici de evitare, cum ar fi activarea persistenței la pornire sau specificarea dimensiunii minime a spațiului de stocare pe disc și a dimensiunii RAM pentru a evita mediile de analiză.
Prima măsură pentru a reduce riscul acestor atacuri ar fi aplicarea actualizării de marți a patch-ului Microsoft din februarie 2024, care rezolvă CVE-2024-21412.
Trend Micro a publicat lista completă a indicatorilor de compromis (IoCs) pentru această campanie DarkGate pe această pagină web.
Leave a Reply