CVE-2024-21412 DarkGate マルウェア キャンペーンで使用

1 月中旬に観察された DarkGate マルウェア キャンペーン 2024 は、最近パッチが適用された Microsoft Windows のセキュリティ上の欠陥の悪用を強調しました。 ゼロデイ脆弱性, 不正なペイロードを広めるために偽造ソフトウェア インストーラーを利用する.

トレンドマイクロ 報告 それがこのキャンペーン中に, 疑いを持たないユーザーは、Google DoubleClick Digital Marketing を含む PDF を介して誘惑されました (DDM) リダイレクトを開く. リダイレクトにより、エクスプロイトをホストする侵害されたサイトに誘導されていました。, CVE-2024-21412, これにより、悪意のある Microsoft の配信が容易になりました。 (.MSI) インストーラー.

CVE-2024-21412 に基づく DarkGate 攻撃

CVE-2024-21412, CVSSスコアが 8.1, 認証されていない攻撃者がインターネット ショートカット ファイルを操作して SmartScreen 保護を回避できるようにします。, 最終的に被害者をマルウェアにさらすことになる. Microsoft はこの脆弱性に対処しましたが、 2月 2024 火曜日のパッチ 更新, Water Hydra のような脅威アクター (ダークカジノとしても知られています) DarkMe マルウェアを配布するために兵器化した, 特に金融機関をターゲットにしたもの.

トレンドマイクロの最新の調査結果では、この脆弱性が広範に悪用されていることが明らかになりました。 ダークゲート 運動, Google 広告からのオープン リダイレクトと組み合わせてマルウェアの拡散を強化します.

この高度な攻撃チェーンは、被害者がフィッシングメール経由で受信した PDF 添付ファイルに埋め込まれたリンクをクリックすることで始まります。. これらのリンクは、Google の doubleclick.net ドメインから、悪意のある .URL インターネット ショートカット ファイルをホストする侵害されたサーバーへのオープン リダイレクトをトリガーします。, CVE-2024-21412 の悪用. Apple iTunes などの正規のアプリケーションを装った偽の Microsoft ソフトウェア インストーラー, 概念, その後、NVIDIA が配布されます。, 復号化してユーザーを DarkGate に感染させるサイドロード DLL ファイルを含む (バージョン 6.1.7).

加えて, Windows SmartScreen に新たにパッチが適用されたバイパスの欠陥 (CVE-2023-36025, CVSSスコア: 8.8) ここ数カ月間、DarkGate を配信するために脅威アクターによって利用されてきました, フェメドロン・スティーラー, と ミススパドゥ.

The マルバタイジング キャンペーンにおける Google 広告テクノロジーの悪用 これらの攻撃の範囲と影響はさらに拡大します, 特定のユーザー向けにカスタマイズされ、悪意のある活動を強化します.

セキュリティ研究者らは、感染のリスクを軽減するために、公式ルート以外で受け取ったソフトウェアインストーラーを信頼しないよう警戒を続けることが極めて重要であると強調している。.

関連する事件では, Adobe Reader などのアプリケーションの偽インストーラー, 概念, Synaptics は、疑わしい PDF ファイルや合法的に見える Web サイトを通じて配布されています。, LummaC2 や XRed バックドアなどの情報スティーラーを導入するため.