Uma campanha de malware DarkGate observada em meados de janeiro 2024 destacou a exploração de uma falha de segurança recentemente corrigida no Microsoft Windows como um vulnerabilidade zero-day, utilizando instaladores de software falsificado para propagar sua carga nefasta.
Trend Micro relatado que durante esta campanha, usuários desavisados foram atraídos por PDFs contendo Google DoubleClick Digital Marketing (DDM) redirecionamentos abertos. Os redirecionamentos os levavam a sites comprometidos que hospedavam a exploração, CVE-2024-21412, que facilitou a entrega de programas maliciosos da Microsoft (.MSI) instaladores.
Ataques DarkGate baseados em CVE-2024-21412
CVE-2024-21412, com uma pontuação CVSS de 8.1, permite que um invasor não autenticado contorne as proteções do SmartScreen manipulando arquivos de atalho da Internet, em última análise, expondo as vítimas a malware. Embora a Microsoft tenha abordado esta vulnerabilidade em seu fevereiro 2024 patch Tuesday atualizações, atores de ameaças como Water Hydra (também conhecido como DarkCasino) transformou-o em uma arma para distribuir o malware DarkMe, visando particularmente instituições financeiras.
As últimas descobertas da Trend Micro revelam a exploração mais ampla desta vulnerabilidade no DarkGate campanha, combinando-o com redirecionamentos abertos do Google Ads para aumentar a proliferação de malware.
Esta sofisticada cadeia de ataques começa com as vítimas clicando em links incorporados em anexos PDF recebidos através de e-mails de phishing. Esses links acionam redirecionamentos abertos do domínio doubleclick.net do Google para servidores comprometidos que hospedam arquivos maliciosos de atalho da Internet .URL, explorando CVE-2024-21412. Falsos instaladores de software da Microsoft disfarçados de aplicativos legítimos como o Apple iTunes, Noção, e NVIDIA são então distribuídos, contendo um arquivo DLL carregado lateralmente que descriptografa e infecta usuários com DarkGate (versão 6.1.7).
além do que, além do mais, outra falha de desvio agora corrigida no Windows SmartScreen (CVE-2023-36025, pontuação CVSS: 8.8) tem sido utilizado por agentes de ameaças nos últimos meses para fornecer DarkGate, Ladrão de Femedrona, e Mispadu.
o abuso de tecnologias do Google Ads em campanhas de malvertising amplifica ainda mais o alcance e o impacto desses ataques, adaptado para públicos específicos para aprimorar suas atividades maliciosas.
Os pesquisadores de segurança enfatizam a importância crítica de permanecer vigilante e alertar contra a confiança em qualquer instalador de software recebido fora dos canais oficiais para mitigar o risco de infecção.
Em incidentes relacionados, instaladores falsos para aplicativos como Adobe Reader, Noção, e Synaptics estão sendo distribuídos através de arquivos PDF duvidosos e sites de aparência legítima, para implantar ladrões de informações como LummaC2 e o backdoor XRed.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: