În prezent, o nouă serie de atacuri realizate de operațiunea de malware DarkGate exploatează o vulnerabilitate în Windows Defender SmartScreen pentru a ocoli verificările de securitate și a instala automat instalatoare false de software.
SmartScreen este o caracteristică de securitate a Windows care afișează un avertisment atunci când utilizatorii încearcă să ruleze fișiere descărcate de pe internet care nu sunt recunoscute sau par suspecte.
Vulnerabilitatea, denumită CVE-2024-21412, este o defecțiune a Windows Defender SmartScreen care permite fișierelor descărcate să treacă de aceste avertismente de securitate.
Atacatorii pot exploata vulnerabilitatea creând un scurtătură de Internet Windows (.url) care indică către un alt fișier .url găzduit pe un server SMB remote, ceea ce ar determina executarea automată a fișierului la locația finală.
Microsoft a remediat defecțiunea la mijlocul lunii februarie, cu Trend Micro dezvăluind că grupul de hackeri Water Hydra, motivat financiar, a exploatat anterior această vulnerabilitate ca zero-day pentru a descărca malware-ul lor DarkMe pe sistemele traderilor.
Astăzi, analiștii Trend Micro au raportat că operatorii DarkGate exploatează aceeași vulnerabilitate pentru a-și îmbunătăți șansele de succes (infecție) pe sistemele vizate.
Aceasta este o dezvoltare semnificativă pentru malware, care, împreună cu Pikabot, a umplut golul creat de perturbarea lui QBot vara trecută și este utilizat de mai mulți infractori cibernetici pentru distribuția de malware.
Atacul începe cu un e-mail malicios care include un atașament PDF cu linkuri care utilizează redirecționări deschise de serviciile Google DoubleClick Digital Marketing (DDM) pentru a ocoli verificările de securitate ale e-mailului.
Când o victimă dă clic pe link, este redirecționată către un server web compromis care găzduiește un fișier de scurtătură de internet. Acest fișier de scurtătură (.url) indică către un al doilea fișier de scurtătură găzduit pe un server WebDAV controlat de atacatori.
Folosind o scurtătură Windows pentru a deschide a doua scurtătură de pe un server remote exploatează eficient defecțiunea CVE-2024-21412, determinând executarea automată a unui fișier MSI rău intenționat pe dispozitiv.
Aceste fișiere MSI au fost disimulate ca software-uri legitime de la NVIDIA, aplicația Apple iTunes sau Notion.
La executarea instalatorului MSI, o altă defecțiune de tip DLL sideloading implicând fișierul „libcef.dll” și un încărcător numit „sqlite3.dll” va decripta și executa încărcătura de malware DarkGate pe sistem.
Odată ce este inițializat, malware-ul poate fura date, prelua încărcături suplimentare și le poate injecta în procese în desfășurare, efectua înregistrare de taste și oferi atacatorilor acces la distanță în timp real.
Lanțul de infecție complex și multi-etapă folosit de operatorii DarkGate din mijlocul lunii ianuarie 2024 este rezumat în diagrama de mai jos:
Trend Micro spune că această campanie folosește versiunea 6.1.7 a DarkGate, care, comparativ cu versiunea mai veche 5, include o configurație criptată XOR, opțiuni de configurație noi și actualizări ale valorilor de comandă și control (C2).
Parametrii de configurare disponibili în DarkGate 6 permit operatorilor să determine diferite tactici operaționale și tehnici de evitare, cum ar fi activarea persistenței la pornire sau specificarea dimensiunii minime a stocării pe disc și a dimensiunii RAM pentru a evita medii de analiză.
Primul pas pentru a mitiga riscul acestor atacuri ar fi aplicarea actualizării Patch Tuesday a Microsoft din februarie 2024, care rezolvă CVE-2024-21412.
Trend Micro a publicat lista completă a indicatorilor de compromitere (IoCs) pentru această campanie DarkGate pe această pagină web.
Leave a Reply