DarkGate 惡意軟件操作發(fā)起的新一波攻擊，利用現(xiàn)已修復(fù)的 Windows Defender SmartScreen 漏洞來繞過安全檢查，并自動安裝虛假軟件安裝程序。

SmartScreen 是一項(xiàng) Windows 安全功能，當(dāng)用戶嘗試運(yùn)行從 Internet 下載的無法識別或可疑文件時，它會顯示警告。

被追蹤為 CVE-2024-21412 的缺陷是 Windows Defender SmartScreen 缺陷，允許特制的下載文件繞過這些安全警告。

攻擊者可以通過創(chuàng)建指向遠(yuǎn)程 SMB 共享上托管的另一個 .url 文件的 Windows Internet 快捷方式(.url 文件)來利用該缺陷，這將導(dǎo)致最終位置的文件自動執(zhí)行。

微軟于 2 月中旬修復(fù)了該漏洞。出于經(jīng)濟(jì)動機(jī)的 Water Hydra 黑客組織此前就曾利用該漏洞作為零日漏洞 ，將其 DarkMe 惡意軟件植入到交易者的系統(tǒng)中。

有分析師報(bào)告稱，DarkGate 運(yùn)營商正在利用相同的缺陷來提高他們在目標(biāo)系統(tǒng)上成功(感染)的機(jī)會。

該惡意軟件與 Pikabot 一起填補(bǔ)了去年夏天 QBot 破壞造成的空白 ，并被多個網(wǎng)絡(luò)犯罪分子用于分發(fā)惡意軟件。

DarkGate 攻擊細(xì)節(jié)

該攻擊從一封惡意電子郵件開始，其中包含一個 PDF 附件，其中的鏈接利用 Google DoubleClick 數(shù)字營銷 (DDM) 服務(wù)的開放重定向，來繞過電子郵件安全檢查。

當(dāng)受害者點(diǎn)擊該鏈接時，他們會被重定向到托管互聯(lián)網(wǎng)快捷方式文件的受感染 Web 服務(wù)器。此快捷方式文件 (.url) 鏈接到托管在攻擊者控制的 WebDAV 服務(wù)器上的第二個快捷方式文件。

利用 CVE-2024-21412 SmartScreen 漏洞

使用一個 Windows 快捷方式在遠(yuǎn)程服務(wù)器上打開第二個快捷方式，可有效利用 CVE-2024-21412 缺陷，導(dǎo)致惡意 MSI 文件在設(shè)備上自動執(zhí)行。

自動安裝 MSI 文件的第二個 URL 快捷方式

這些 MSI 文件偽裝成來自 NVIDIA、Apple iTunes 應(yīng)用程序或 Notion 的合法軟件。

執(zhí)行 MSI 安裝程序后，涉及“l(fā)ibcef.dll”文件和名為“sqlite3.dll”的加載程序的另一個 DLL 側(cè)載缺陷將解密并執(zhí)行系統(tǒng)上的 DarkGate 惡意軟件負(fù)載。

一旦初始化，惡意軟件就可以竊取數(shù)據(jù)，獲取額外的有效負(fù)載并將其注入正在運(yùn)行的進(jìn)程中，執(zhí)行按鍵日志記錄，并為攻擊者提供實(shí)時遠(yuǎn)程訪問。

自 2024 年 1 月中旬以來，DarkGate 運(yùn)營商采用的復(fù)雜且多步驟的感染鏈總結(jié)如下：

DarkGate感染鏈

該活動采用了 DarkGate 6.1.7 版本，與舊版本 5 相比，該版本具有 XOR 加密配置、新配置選項(xiàng)以及命令和控制 (C2) 值的更新。

DarkGate 6 中提供的配置參數(shù)，使其操作員能夠確定各種操作策略和規(guī)避技術(shù)，例如啟用啟動持久性或指定最小磁盤存儲和 RAM 大小以規(guī)避分析環(huán)境。

DarkGate v6配置參數(shù)

減輕這些攻擊風(fēng)險的第一步是應(yīng)用 Microsoft 的 2024 年 2 月補(bǔ)丁星期二更新，該更新修復(fù)了 CVE-2024-21412。

參考及來源：

https://www.bleepingcomputer.com/news/security/hackers-exploit-windows-smartscreen-flaw-to-drop-darkgate-malware/

原文來源：嘶吼專業(yè)版