Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La campaña de malware DarkGate aprovecha un fallo parcheado de Microsoft
Wajahat Raja
27 de marzo de 2024 - Equipo de expertos TuxCare
La Iniciativa Día Cero (ZDI) de Trend Micro descubrió una campaña de phishing que aprovechaba un fallo parcheado de Microsoft para infectar dispositivos con malware DarkGate. CVE-2024-21412 era el parche de Microsoft que se explotaba mediante falsos instaladores de software. Se utilizaron archivos PDF que contenían redireccionamientos abiertos de Google DoubleClick Digital Marketing (DDM) para atraer a los usuarios a descargar el programa malicioso de Microsoft ".MSI" de Microsoft.
En esta campaña de phishing se utilizaron URL de redirección abierta de las tecnologías de anuncios de Google para la distribución de cara Microsoft ".MSI" de Microsoft. Un archivo DLL presente en estos falsos instaladores de software de Microsoft se utilizó para infectar dispositivos con el malware DarkGate. Un actor de amenazas persistentes avanzadas (APT), Water Hydrase cree que está detrás del malware DarkGate DarkGate.
En este artículo, haremos un detallado análisis del malware DarkGate y veremos qué medidas se tomaron para mitigar la infección de DarkGate. Comencemos.
La cadena de infección del malware DarkGate
El malware DarkGate es una campaña que los actores de amenazas llevan a cabo en varios pasos. Saber qué ocurre en cada uno de estos pasos es esencial para protegerse contra este tipo de amenazas. Echemos un vistazo detallado a cada uno de ellos.
Redirección abierta: Google DDM
Los ataques de phishing con DarkGate se iniciaron desplegando una redirección abierta desde el sitio web de doubleclick.net utilizando un archivo PDF. La dirección "adurl redirigía a las víctimas desprevenidas a un servidor comprometido. La explotación de CVE-2024-21412 no podía iniciarse sin que la víctima seleccionara la opción "Descargar" dentro del PDF.
Explotación CVE-2024-21412
Tras ser redirigidas a un servidor web comprometido, las víctimas ven el archivo first.URL. CVE-2014-21412 se explota cuando el archivo de acceso directo a Internet first.URL redirige a otro archivo.URL. La dirección "URL=" es utilizado por el archivo de acceso directo a Internet para dirigir a la víctima a la siguiente etapa de la infección por el malware DarkGate. infección por el malware DarkGate. Un servidor WebDAV controlado por el atacante es ahora el anfitrión. A continuación, se dirige a las víctimas a un archivo archivo ".MSI"que contiene un archivo zip.
Instalador del malware DarkGate
En esta etapa, se carga un archivo DLL mediante un archivo .MSI. En cuanto a la carga útil DarkGate, es descifrada y empleada por un script Autolt. El malware DarkGate se disfraza de programas legítimos como Notion, Apple iTunes, NVIDIAy otros programas similares.
La víctima cree que está instalando un software normal en su dispositivo pero, en realidad, está siendo presa del campaña de malware DarkGate campaña. DarkGate emplea una técnica de carga lateral de DLL mediante la cual se carga un archivo DLL malicioso.
Corrección de parches por Microsoft
Aunque Microsoft corrigió este fallo de día cero en sus actualizaciones del martes de parches de febrero de 2024, la vulnerabilidad Windows SmartScreen ya había sido explotada por los actores APT para entonces con el fin de atacar a las instituciones financieras mediante la entrega del malware DarkMe. Microsoft ha pedido a los usuarios que apliquen la corrección lo antes posible para protegerse de la campaña de phishing de Water Hydra.
Conclusión
La campaña de malware DarkGate que aprovecha un fallo parcheado de Microsoft ha hecho saltar las alarmas de los expertos en ciberseguridad. Destaca que los actores de amenazas pueden utilizar los riesgos de ciberseguridad vinculados a las tecnologías de anuncios de Google para ampliar la escala de sus campañas de phishing. También subraya la importancia de corregir estos parches defectuosos lo antes posible para garantizar la protección y recuperación frente a las ciberamenazas.
Las fuentes de este artículo incluyen artículos en The Hacker News y TechRadar Pro.
