Une campagne de malware DarkGate observée mi-janvier 2024 a mis en évidence l'exploitation d'une faille de sécurité récemment corrigée dans Microsoft Windows comme un vulnérabilité du jour zéro, utiliser des installateurs de logiciels contrefaits pour propager sa charge utile infâme.
Trend Micro signalé que pendant cette campagne, des utilisateurs sans méfiance ont été attirés via des PDF contenant Google DoubleClick Digital Marketing (DDM) ouvrir les redirections. Les redirections les conduisaient vers des sites compromis hébergeant l'exploit, CVE-2024-21412, qui a facilité la livraison de logiciels Microsoft malveillants (.MSI) installateurs.
Attaques DarkGate basées sur CVE-2024-21412
CVE-2024-21412, avec un score CVSS de 8.1, permet à un attaquant non authentifié de contourner les protections SmartScreen en manipulant les fichiers de raccourci Internet, exposant finalement les victimes à des logiciels malveillants. Bien que Microsoft ait corrigé cette vulnérabilité dans son Février 2024 Patch Tuesday mises à jour, des acteurs menaçants comme Water Hydra (également connu sous le nom de DarkCasino) l'a utilisé comme arme pour distribuer le malware DarkMe, ciblant particulièrement les institutions financières.
Les dernières découvertes de Trend Micro révèlent une exploitation plus large de cette vulnérabilité dans le DarkGate campagne, en le combinant avec des redirections ouvertes de Google Ads pour améliorer la prolifération des logiciels malveillants.
Cette chaîne d'attaque sophistiquée démarre lorsque les victimes cliquent sur des liens intégrés dans les pièces jointes PDF reçues via des e-mails de phishing.. Ces liens déclenchent des redirections ouvertes du domaine doubleclick.net de Google vers des serveurs compromis hébergeant des fichiers de raccourci Internet .URL malveillants., exploitant CVE-2024-21412. Faux installateurs de logiciels Microsoft se faisant passer pour des applications légitimes comme Apple iTunes, Notion, et NVIDIA sont ensuite distribués, contenant un fichier DLL chargé latéralement qui décrypte et infecte les utilisateurs avec DarkGate (version 6.1.7).
En outre, une autre faille de contournement désormais corrigée dans Windows SmartScreen (CVE-2023-36025, Note CVSS: 8.8) a été utilisé par les acteurs malveillants ces derniers mois pour livrer DarkGate, Voleur de Phémédrone, et Mispadu.
La abus des technologies Google Ads dans les campagnes de publicité malveillante amplifie encore la portée et l’impact de ces attaques, adaptés à des publics spécifiques pour améliorer leurs activités malveillantes.
Les chercheurs en sécurité soulignent l'importance cruciale de rester vigilant et de ne pas faire confiance à tout installateur de logiciel reçu en dehors des canaux officiels afin d'atténuer le risque d'infection..
Dans des incidents connexes, faux installateurs pour des applications comme Adobe Reader, Notion, et Synaptics sont distribués via des fichiers PDF douteux et des sites Web d'apparence légitime, pour déployer des voleurs d'informations tels que LummaC2 et la porte dérobée XRed.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: