En DarkGate malware-kampagne observeret i midten af januar 2024 har fremhævet udnyttelsen af en nyligt rettet sikkerhedsfejl i Microsoft Windows som en zero-day sårbarhed, at bruge forfalskede softwareinstallatører til at udbrede dens uhyggelige nyttelast.
trend Micro rapporteret det under denne kampagne, intetanende brugere blev lokket via PDF-filer, der indeholdt Google DoubleClick Digital Marketing (DDM) åbne omdirigeringer. Omdirigeringerne førte dem til kompromitterede websteder, der var vært for udnyttelsen, CVE-2024-21412, som lettede leveringen af ondsindet Microsoft (.MSI) installatører.
DarkGate-angreb baseret på CVE-2024-21412
CVE-2024-21412, med en CVSS score på 8.1, gør det muligt for en uautoriseret angriber at omgå SmartScreen-beskyttelse ved at manipulere internetgenvejsfiler, i sidste ende udsætter ofre for malware. Selvom Microsoft adresserede denne sårbarhed i sin Februar 2024 Patch tirsdag opdateringer, trusselsaktører som Water Hydra (også kendt som DarkCasino) bevæbnede det til at distribuere DarkMe-malwaren, især rettet mod finansielle institutioner.
De seneste resultater fra Trend Micro afslører den bredere udnyttelse af denne sårbarhed i DarkGate kampagne, ved at kombinere det med åbne omdirigeringer fra Google Ads for at forbedre spredningen af malware.
Denne sofistikerede angrebskæde starter med ofre, der klikker på links indlejret i PDF-vedhæftede filer modtaget via phishing-e-mails. Disse links udløser åbne omdirigeringer fra Googles doubleclick.net-domæne til kompromitterede servere, der hoster ondsindede .URL-internetgenvejsfiler, udnytter CVE-2024-21412. Falske Microsoft-softwareinstallatører, der forklæder sig som legitime applikationer som Apple iTunes, Begreb, og NVIDIA distribueres derefter, indeholdende en sideindlæst DLL-fil, der dekrypterer og inficerer brugere med DarkGate (udgave 6.1.7).
Desuden, endnu en nu rettet bypass-fejl i Windows SmartScreen (CVE-2023-36025, CVSS-score: 8.8) er blevet brugt af trusselsaktører i de seneste måneder til at levere DarkGate, Femedron-tyver, og Mispadu.
Den misbrug af Google Ads-teknologier i malvertising-kampagner yderligere forstærker rækkevidden og virkningen af disse angreb, skræddersyet til specifikke målgrupper for at forbedre deres ondsindede aktiviteter.
Sikkerhedsforskere understreger den afgørende vigtighed af at forblive på vagt og være forsigtig med at have tillid til enhver softwareinstallatør modtaget uden for officielle kanaler for at mindske risikoen for infektion.
I relaterede hændelser, falske installationsprogrammer til applikationer som Adobe Reader, Begreb, og Synaptics bliver distribueret gennem tvivlsomme PDF-filer og legitime websteder, at implementere informationstyvere såsom LummaC2 og XRed bagdøren.