Medio januari werd een DarkGate-malwarecampagne waargenomen 2024 heeft de exploitatie van een onlangs gepatcht beveiligingslek in Microsoft Windows benadrukt als een zero-day kwetsbaarheid, het gebruik van valse software-installatieprogramma's om zijn snode lading te verspreiden.
Trend Micro gerapporteerd dat tijdens deze campagne, nietsvermoedende gebruikers werden gelokt via pdf's met Google DoubleClick Digital Marketing (DDM) open omleidingen. De omleidingen leidden hen naar gecompromitteerde sites waarop de exploit werd gehost, CVE-2024-21412, wat de levering van kwaadaardige Microsoft mogelijk maakte (.MSI) installateurs.
DarkGate-aanvallen gebaseerd op CVE-2024-21412
CVE-2024-21412, met een CVSS score van 8.1, stelt een niet-geverifieerde aanvaller in staat de SmartScreen-beveiligingen te omzeilen door internetsnelkoppelingsbestanden te manipuleren, waardoor slachtoffers uiteindelijk worden blootgesteld aan malware. Hoewel Microsoft dit beveiligingslek heeft verholpen in zijn Februari 2024 Patch Tuesday updates, bedreigingsactoren zoals Water Hydra (ook bekend als DarkCasino) bewapende het om de DarkMe-malware te verspreiden, vooral gericht op financiële instellingen.
De nieuwste bevindingen van Trend Micro onthullen de bredere exploitatie van deze kwetsbaarheid in de DarkGate campagne, door het te combineren met open omleidingen van Google Ads om de verspreiding van malware te bevorderen.
Deze geavanceerde aanvalsketen begint waarbij slachtoffers klikken op links die zijn ingebed in PDF-bijlagen die zijn ontvangen via phishing-e-mails. Deze links activeren open omleidingen van het doubleclick.net-domein van Google naar gecompromitteerde servers die kwaadaardige .URL-internetsnelkoppelingsbestanden hosten, gebruikmakend van CVE-2024-21412. Valse Microsoft-software-installatieprogramma's die zich voordoen als legitieme applicaties zoals Apple iTunes, Begrip, en NVIDIA worden vervolgens gedistribueerd, met een aan de zijkant geladen DLL-bestand dat gebruikers decodeert en infecteert met DarkGate (versie 6.1.7).
Bovendien, nog een inmiddels gepatchte bypass-fout in Windows SmartScreen (CVE-2023-36025, CVSS-score: 8.8) is de afgelopen maanden door bedreigingsactoren gebruikt om DarkGate te leveren, Phemedrone-stealer, en Mispadu.
Het misbruik van Google Ads-technologieën in malvertisingcampagnes vergroot het bereik en de impact van deze aanvallen verder, op maat gemaakt voor specifieke doelgroepen om hun kwaadaardige activiteiten te verbeteren.
Beveiligingsonderzoekers benadrukken het cruciale belang van waakzaamheid en voorzichtigheid bij het vertrouwen van software-installatieprogramma's die buiten de officiële kanalen worden ontvangen om het risico op infectie te beperken.
Bij gerelateerde incidenten, valse installatieprogramma's voor toepassingen zoals Adobe Reader, Begrip, en Synaptics worden verspreid via dubieuze PDF-bestanden en legitiem ogende websites, om informatiestelers zoals LummaC2 en de XRed-backdoor in te zetten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: