Обнаружение уязвимости Windows SmartScreen, используемой для распространения вредоносного ПО DarkGate
Новая волна активного вредоносного ПО DarkGate использует уязвимость в Защитнике Windows. SmartScreen теперь обновлен с возможностью обходить проверки безопасности и автоматически устанавливать поддельные установщики программного обеспечения в целевую систему.
SmartScreen — это функция безопасности Windows, которая отображает предупреждение, когда пользователи пытаются запустить неизвестные или подозрительные файлы, загруженные из Интернета. Отслеженная уязвимость, обозначенная как CVE-2024-21412, представляет собой проблему в SmartScreen Защитника Windows, которая позволяет специально созданным загрузкам обходить предупреждения безопасности компании. этот инструмент.
Злоумышленники могут воспользоваться этой уязвимостью, создав интернет-ярлык Windows (файл .url), который указывает на другой файл .url, хранящийся на удаленном общем ресурсе SMB. Это приведет к автоматическому выполнению файла в последнем местоположении.
CVE-2024-21412 была исправлена Microsoft в середине февраля, но, похоже, это обновление еще не было полностью применено. Ранее Trend Micro сообщила, что группа финансовых хакеров по прозвищу Water Hydra успешно использовала эту уязвимость как нулевой день для распространения своего вредоносного ПО DarkMe в системы трейдеров. пандемия.
Сегодня аналитики Trend Micro продолжают публиковать срочное заявление о том, что те, кто стоит за вредоносным ПО DarkGate, развертывают новую волну атак, используя аналогичные уязвимости для повышения шансов на успешное заражение. атаки на целевые системы.
Подробности атаки DarkGate
Атака начинается с вредоносного электронного письма, которое включает вложение в формате PDF со ссылкой, использующей открытые перенаправления из службы Google DoubleClick Digital Marketing (DDM) для обхода проверок безопасности электронной почты.
Когда жертвы нажимают на ссылку, они перенаправляются на веб-сервер, на котором размещен файл ярлыка в Интернете. Этот файл ярлыка (.url), в свою очередь, ссылается на второй файл ярлыка, размещенный на сервере WebDAV, контролируемом злоумышленником.
Использование ярлыка Windows для открытия второго ярлыка на удаленном сервере эффективно использует уязвимость CVE-2024-21412, вызывая автоматическое выполнение вредоносного MSI-файла на устройстве.
Эти файлы MSI маскируются под законное программное обеспечение NVIDIA, приложения Apple iTunes или Notion.
При запуске установщика MSI другая уязвимость загрузки DLL связана с файлом «libcef.dll» и загрузчиком с именем «sqlite3.dll», который декодирует и выполняет полезную нагрузку вредоносного ПО DarkGate в системе.
После инициализации вредоносное ПО может украсть данные, получить дополнительные полезные данные и внедрить их в запущенные процессы, выполнить регистрацию ключей и предоставить злоумышленникам удаленный доступ в режиме реального времени.
Сложная и многоэтапная цепочка заражения, используемая эксплойтерами DarkGate с середины января 2024 года, представлена на схеме ниже:
Trend Micro сообщила, что в этой кампании использовалась версия DarkGate 6.1.7. По сравнению со старой версией 5, версия 6 включает конфигурацию с кодировкой XOR, новые параметры конфигурации и обновления значений управления и контроля (C2).
Параметры конфигурации, доступные в DarkGate 6, позволяют операторам определять различные оперативные тактики и методы уклонения, такие как разрешение постоянной загрузки или указание емкости и размера дискового хранилища. Минимум оперативной памяти, чтобы избежать среды анализа.
В настоящее время единственным способом снизить риск этих атак является применение обновления Microsoft Patch Tuesday от февраля 2024 года, исправляющего ошибку CVE-2024-21412.
