Μια νέα καμπάνια διανομής του DarkGate malware εκμεταλλεύεται μια ευπάθεια του Microsoft  Defender SmartScreen που έχει πλέον διορθωθεί. Με την ευπάθεια αυτή, οι επιτιθέμενοι μπορούν να παρακάμψουν τους ελέγχους ασφαλείας και να εγκαταστήσουν αυτόματα ψεύτικα software installers.

Το SmartScreen εμφανίζει μια προειδοποίηση στα Windows, όταν οι χρήστες προσπαθούν να εκτελέσουν μη αναγνωρισμένα ή ύποπτα αρχεία που έχουν ληφθεί από το Διαδίκτυο. Η ευπάθεια του Microsoft  Defender SmartScreen που χρησιμοποιείται στη νέα malware καμπάνια DarkGate, παρακολουθείται ως CVE-2024-21412 και επιτρέπει στα ειδικά δημιουργημένα αρχεία λήψης να παρακάμπτουν αυτές τις προειδοποιήσεις ασφαλείας.

Δείτε επίσης: Microsoft Teams: Χρησιμοποιείται σε phishing επιθέσεις για διανομή του DarkGate malware

Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν την ευπάθεια δημιουργώντας ένα Windows Internet shortcut (.url file) που οδηγεί σε ένα άλλο αρχείο .url που φιλοξενείται σε ένα απομακρυσμένο SMB share. Αυτό κάνει το αρχείο στην τελική τοποθεσία να εκτελεστεί αυτόματα.

Η Microsoft διόρθωσε την παραπάνω ευπάθεια τον περασμένο μήνα. Ήδη, μια hacking ομάδα με το όνομα Water Hydra, την είχε εκμεταλλευτεί ως zero-day για να μολύνει συστήματα εμπόρων με το κακόβουλο λογισμικό DarkMe.

Τώρα, οι αναλυτές της Trend Micro λένε ότι οι χειριστές του DarkGate malware εκμεταλλεύονται επίσης την ευπάθεια του Microsoft  Defender SmartScreen για να βελτιώσουν τις πιθανότητες  επιτυχούς μόλυνσης των στοχευμένων συστημάτων.

DarkGate malware: Νέες επιθέσεις

Η επίθεση ξεκινά με ένα κακόβουλο email που περιλαμβάνει ένα συνημμένο PDF. Μέσα υπάρχουν σύνδεσμοι που χρησιμοποιούν ανοιχτές ανακατευθύνσεις από τις υπηρεσίες Google DoubleClick Digital Marketing (DDM). Στόχος είναι η παράκαμψη των ελέγχων ασφαλείας email.

Όταν ένα θύμα κάνει κλικ στο σύνδεσμο, ανακατευθύνεται σε έναν παραβιασμένο web server που φιλοξενεί ένα internet shortcut file. Αυτό το αρχείο (.url) συνδέεται με ένα δεύτερο shortcut file που φιλοξενείται σε διακομιστή WebDAV που ελέγχεται από τον εισβολέα.

Δείτε επίσης: Mispadu banking trojan: Εκμεταλλεύεται ευπάθεια του Windows SmartScreen

Η χρήση ενός Windows Shortcut, για το άνοιγμα ενός δεύτερου σε έναν απομακρυσμένο διακομιστή, εκμεταλλεύεται αποτελεσματικά το ελάττωμα CVE-2024-21412, προκαλώντας την αυτόματη εκτέλεση ενός κακόβουλου αρχείου MSI στη συσκευή

.

Αυτά τα αρχεία MSI εμφανίζονται ως νόμιμο λογισμικό από τη NVIDIA, την εφαρμογή Apple iTunes ή το Notion.

Κατά την εκτέλεση του MSI installer, ένα άλλο σφάλμα DLL sideloading που περιλαμβάνει το αρχείο “libcef.dll” και έναν loader με το όνομα “sqlite3.dll” θα αποκρυπτογραφήσει και θα εκτελέσει το DarkGate malware payload στο στοχευμένο σύστημα.

Το κακόβουλο λογισμικό μπορεί να κλέψει δεδομένα, να εγκαταστήσει πρόσθετα malware, να καταγράψει πληκτρολογήσεις και να δώσει στους εισβολείς απομακρυσμένη πρόσβαση σε πραγματικό χρόνο.

Η Trend Micro λέει ότι αυτή η καμπάνια χρησιμοποιεί το DarkGate έκδοση 6.1.7, η οποία περιλαμβάνει ενημερωμένες δυνατότητες.

Για την προστασία από μολύνσεις του DarkGate malware, είναι απαραίτητη η εφαρμογή του Microsoft Patch Tuesday Φεβρουαρίου, το οποίο διορθώνει την ευπάθεια CVE-2024-21412 στο SmartScreen.

Έπειτα, μπορούν να εφαρμοστούν και άλλα μέτρα για μεγαλύτερη προστασία. Για παράδειγμα, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο λογισμικό προστασίας από ιούς και malware. Αυτό θα πρέπει να είναι σε θέση να ανιχνεύσει και να απομακρύνει το DarkGate malware αν προσπαθήσει να εγκατασταθεί στο σύστημά σας.

Δείτε επίσης: Τα DarkGate και PikaBot malware γεμίζουν το κενό που άφησε το Qakbot (QBot)

Επιπλέον, πρέπει να είστε προσεκτικοί με τα ηλεκτρονικά μηνύματα και τις ιστοσελίδες που επισκέπτεστε. Αποφύγετε το κάνετε κλικ σε ύποπτους συνδέσμους και να κατεβάζετε αρχεία από αναξιόπιστες πηγές.

Τέλος, η χρήση ισχυρών κωδικών πρόσβασης και η ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων, όπου είναι δυνατό, μπορεί να βοηθήσει στην προστασία των λογαριασμών σας από την παραβίαση.

Πηγή: www.bleepingcomputer.com