Una campaña de malware DarkGate observada a mediados de enero 2024 ha destacado la explotación de una falla de seguridad recientemente reparada en Microsoft Windows como una vulnerabilidad de día cero, utilizar instaladores de software falsificados para propagar su nefasta carga útil.
Trend Micro reportado que durante esta campaña, Los usuarios desprevenidos fueron atraídos a través de archivos PDF que contenían Google DoubleClick Digital Marketing (DDM) redireccionamientos abiertos. Las redirecciones los conducían a sitios comprometidos que albergaban el exploit., CVE-2024-21412, que facilitó la entrega de Microsoft malicioso (.MSI) instaladores.
Ataques DarkGate basados en CVE-2024-21412
CVE-2024-21412, con una puntuación CVSS de 8.1, permite a un atacante no autenticado eludir las protecciones de SmartScreen manipulando archivos de acceso directo a Internet, en última instancia, exponiendo a las víctimas a malware. Aunque Microsoft abordó esta vulnerabilidad en su Febrero 2024 Martes de parches actualizaciones, actores de amenazas como Water Hydra (también conocido como DarkCasino) lo utilizó como arma para distribuir el malware DarkMe, especialmente dirigido a instituciones financieras.
Los últimos hallazgos de Trend Micro revelan la explotación más amplia de esta vulnerabilidad en el DarkGate Campaña, combinándolo con redireccionamientos abiertos de Google Ads para mejorar la proliferación de malware.
Esta sofisticada cadena de ataque comienza cuando las víctimas hacen clic en enlaces incrustados en archivos adjuntos PDF recibidos a través de correos electrónicos de phishing.. Estos enlaces activan redireccionamientos abiertos desde el dominio doubleclick.net de Google a servidores comprometidos que alojan archivos de acceso directo a Internet .URL maliciosos., explotando CVE-2024-21412. Instaladores de software falsos de Microsoft que se hacen pasar por aplicaciones legítimas como Apple iTunes, Noción, y NVIDIA luego se distribuyen, que contiene un archivo DLL de carga lateral que descifra e infecta a los usuarios con DarkGate (versión 6.1.7).
Adicionalmente, otra falla de omisión ahora parcheada en Windows SmartScreen (CVE-2023-36025, Puntuación CVSS: 8.8) ha sido utilizado por actores de amenazas en los últimos meses para entregar DarkGate, Ladrón de femedronas, y Mispadu.
El Abuso de las tecnologías de Google Ads en campañas de publicidad maliciosa. amplifica aún más el alcance y el impacto de estos ataques, Diseñado para audiencias específicas para mejorar sus actividades maliciosas..
Los investigadores de seguridad enfatizan la importancia crítica de permanecer alerta y advierten que no se debe confiar en cualquier instalador de software recibido fuera de los canales oficiales para mitigar el riesgo de infección..
En incidentes relacionados, instaladores falsos para aplicaciones como Adobe Reader, Noción, y Synaptics se distribuyen a través de archivos PDF dudosos y sitios web de apariencia legítima, para implementar ladrones de información como LummaC2 y la puerta trasera XRed.