Una campagna malware DarkGate osservata a metà gennaio 2024 ha evidenziato lo sfruttamento di una falla di sicurezza recentemente corretta in Microsoft Windows come a vulnerabilità zero-day, utilizzando programmi di installazione di software contraffatti per propagare il suo nefasto carico utile.
Trend Micro segnalati che durante questa campagna, utenti ignari sono stati attirati tramite PDF contenenti Google DoubleClick Digital Marketing (DDM) reindirizzamenti aperti. I reindirizzamenti li portavano a siti compromessi che ospitavano l'exploit, CVE-2024-21412, che ha facilitato la consegna di Microsoft dannoso (.MSI) installatori.
Attacchi DarkGate basati su CVE-2024-21412
CVE-2024-21412, con un punteggio di CVSS 8.1, consente a un utente malintenzionato non autenticato di aggirare le protezioni SmartScreen manipolando i file di collegamento Internet, esponendo infine le vittime al malware. Sebbene Microsoft abbia risolto questa vulnerabilità nel suo Febbraio 2024 Patch Martedì Aggiornamenti, attori di minacce come Water Hydra (noto anche come DarkCasino) lo ha utilizzato come arma per distribuire il malware DarkMe, mirando in particolare alle istituzioni finanziarie.
Gli ultimi risultati di Trend Micro rivelano un più ampio sfruttamento di questa vulnerabilità nel Darkgate campagna, combinandolo con reindirizzamenti aperti di Google Ads per migliorare la proliferazione del malware.
Questa sofisticata catena di attacchi inizia con le vittime che fanno clic sui collegamenti incorporati negli allegati PDF ricevuti tramite e-mail di phishing. Questi collegamenti attivano reindirizzamenti aperti dal dominio doubleclick.net di Google a server compromessi che ospitano file di collegamenti Internet .URL dannosi, sfruttando CVE-2024-21412. Falsi programmi di installazione di software Microsoft mascherati da applicazioni legittime come Apple iTunes, Nozione, e NVIDIA vengono quindi distribuiti, contenente un file DLL caricato lateralmente che decrittografa e infetta gli utenti con DarkGate (versione 6.1.7).
In aggiunta, un altro difetto di bypass ora corretto in Windows SmartScreen (CVE-2023-36025, Punteggio CVSS: 8.8) è stato utilizzato dagli autori di minacce negli ultimi mesi per fornire DarkGate, Ladro di femedroni, e Mispadu.
Il abuso delle tecnologie Google Ads nelle campagne di malvertising amplifica ulteriormente la portata e l’impatto di questi attacchi, su misura per segmenti di pubblico specifici per potenziare le loro attività dannose.
I ricercatori della sicurezza sottolineano l’importanza fondamentale di rimanere vigili e cautelarsi nel fidarsi di qualsiasi programma di installazione software ricevuto al di fuori dei canali ufficiali per mitigare il rischio di infezione.
Negli incidenti correlati, programmi di installazione falsi per applicazioni come Adobe Reader, Nozione, e Synaptics vengono distribuiti tramite file PDF dubbi e siti Web dall'aspetto legittimo, per implementare ladri di informazioni come LummaC2 e la backdoor XRed.