Eine Mitte Januar beobachtete DarkGate-Malware-Kampagne 2024 hat die Ausnutzung einer kürzlich behobenen Sicherheitslücke in Microsoft Windows hervorgehoben Zero-Day-Schwachstelle, Verwendung gefälschter Software-Installationsprogramme, um seine schändliche Nutzlast zu verbreiten.
Trend Micro berichtet das während dieser Kampagne, Ahnungslose Nutzer wurden über PDFs mit Google DoubleClick Digital Marketing angelockt (DDM) Weiterleitungen öffnen. Die Weiterleitungen führten sie zu manipulierten Websites, auf denen der Exploit gehostet wurde, CVE-2024-21412, was die Bereitstellung bösartiger Microsoft-Viren erleichterte (.MSI) Installateure.
DarkGate-Angriffe basierend auf CVE-2024-21412
CVE-2024-21412, mit einem CVSS-Score von 8.1, ermöglicht es einem nicht authentifizierten Angreifer, den SmartScreen-Schutz zu umgehen, indem er Internet-Verknüpfungsdateien manipuliert, Letztendlich werden die Opfer Malware ausgesetzt. Obwohl Microsoft diese Schwachstelle in seinem behoben hat Februar 2024 Patchday Aktuelles, Bedrohungsakteure wie Water Hydra (auch bekannt als DarkCasino) hat es zu einer Waffe gemacht, um die DarkMe-Malware zu verbreiten, richtet sich insbesondere an Finanzinstitute.
Die neuesten Erkenntnisse von Trend Micro zeigen die umfassendere Ausnutzung dieser Schwachstelle in der DarkGate Kampagne, Durch die Kombination mit offenen Weiterleitungen von Google Ads wird die Verbreitung von Malware gefördert.
Diese ausgeklügelte Angriffskette beginnt damit, dass Opfer auf Links klicken, die in PDF-Anhängen eingebettet sind, die sie über Phishing-E-Mails erhalten. Diese Links lösen offene Weiterleitungen von der Doubleclick.net-Domain von Google zu kompromittierten Servern aus, auf denen bösartige .URL-Internetverknüpfungsdateien gehostet werden, Ausnutzung von CVE-2024-21412. Gefälschte Microsoft-Softwareinstallationsprogramme, die sich als legitime Anwendungen wie Apple iTunes ausgeben, Vorstellung, und NVIDIA werden dann verteilt, Enthält eine seitlich geladene DLL-Datei, die Benutzer mit DarkGate entschlüsselt und infiziert (Version 6.1.7).
Außerdem, ein weiterer inzwischen behobener Bypass-Fehler in Windows SmartScreen (CVE-2023-36025, CVSS-Score: 8.8) wurde in den letzten Monaten von Bedrohungsakteuren zur Bereitstellung von DarkGate genutzt, Phemedron-Stealer, und Mispadu.
Die Missbrauch von Google Ads-Technologien in Malvertising-Kampagnen verstärkt die Reichweite und Wirkung dieser Angriffe zusätzlich, auf bestimmte Zielgruppen zugeschnitten, um deren böswillige Aktivitäten zu verstärken.
Sicherheitsforscher betonen, wie wichtig es ist, wachsam zu bleiben und davor zu warnen, Software-Installationsprogrammen zu vertrauen, die außerhalb offizieller Kanäle eingehen, um das Infektionsrisiko zu mindern.
Bei damit zusammenhängenden Vorfällen, gefälschte Installationsprogramme für Anwendungen wie Adobe Reader, Vorstellung, und Synaptics werden über zweifelhafte PDF-Dateien und legitim aussehende Websites verbreitet, um Informationsdiebstahler wie LummaC2 und die XRed-Hintertür einzusetzen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: