ClickCease La campagne de logiciels malveillants DarkGate exploite une faille Microsoft corrigée

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La campagne de logiciels malveillants DarkGate exploite une faille Microsoft corrigée

Wajahat Raja

Le 27 mars 2024 - L'équipe d'experts de TuxCare

L'initiative "Zero Day" (ZDI) de Trend Micro a mis au jour une campagne d'hameçonnage exploitant une faille Microsoft corrigée pour infecter des appareils avec le logiciel malveillant logiciel malveillant DarkGate. CVE-2024-21412 est le correctif de Microsoft qui a été exploité à l'aide de faux installateurs de logiciels. Des PDF contenant des redirections ouvertes Google DoubleClick Digital Marketing (DDM) ont été utilisés pour inciter les utilisateurs à télécharger les fichiers malveillants Microsoft ".MSI" de Microsoft.

Des URL de redirection ouvertes provenant des technologies publicitaires de Google ont été utilisées dans cette campagne d'hameçonnage pour la distribution de fichiers Microsoft ".MSI". ".MSI" de Microsoft. Un fichier DLL présent dans ces faux installateurs de logiciels Microsoft a été utilisé pour infecter des appareils avec le logiciel malveillant logiciel malveillant DarkGate. Un acteur de la menace persistante avancée (APT), Water Hydraest soupçonné d'être à l'origine du logiciel malveillant malware DarkGate DarkGate.

Dans cet article, nous allons procéder à une analyse détaillée des logiciels malveillants du DarkGate et nous verrons quelles mesures ont été prises pour atténuer l'infection par DarkGate. C'est parti !

 

La chaîne d'infection du logiciel malveillant DarkGate


Le logiciel malveillant
malware DarkGate est une campagne menée par des acteurs de la menace en plusieurs étapes. Il est essentiel de savoir ce qui se passe à chacune de ces étapes pour se prémunir contre de telles menaces. Examinons chacune d'entre elles en détail.


Open Redirect : Google DDM


Les attaques de phishing avec DarkGate
ont été lancées en déployant une redirection ouverte à partir de la page d'accueil de doubleclick.net à l'aide d'un fichier PDF. Le fichier "adurl redirigeait les victimes peu méfiantes vers un serveur compromis. L'exploitation de CVE-2024-21412 ne pouvait pas être lancée sans que la victime ne sélectionne l'option "Télécharger" dans le PDF.


CVE-2024-21412 Exploitation


Après avoir été redirigées vers un serveur web compromis, les victimes voient le premier fichier .URL. La CVE-2014-21412 est exploitée lorsque le premier fichier de raccourci Internet .URL redirige vers un autre fichier .URL. Le fichier
"URL=" est utilisé par le fichier de raccourci Internet pour diriger la victime vers l'étape suivante de l'infection par le logiciel malveillant de l'infection par le logiciel malveillant DarkGate. Un serveur WebDAV contrôlé par l'attaquant est maintenant l'hôte. Les victimes sont alors dirigées vers un fichier ".MSI file"qui contient une archive zip.


DarkGate Malware Installer


À ce stade, un fichier DLL est chargé de manière latérale à l'aide d'un fichier .MSI. Quant à la charge utile DarkGate, elle est décryptée et employée par un script Autolt. Le
malware DarkGate est déguisé en logiciels légitimes tels que Notion, Apple iTunes, NVIDIAet d'autres logiciels de ce type.

La victime pense qu'elle installe un logiciel normal sur son appareil, mais en fait, elle est la proie du campagne de logiciels malveillants DarkGate de DarkGate. DarkGate utilise une technique de chargement latéral de DLL, qui permet de charger un fichier DLL malveillant.


Fixation des correctifs par Microsoft


Bien que Microsoft ait corrigé cette faille de type "zero-day" dans ses mises à jour du Patch Tuesday de février 2024, la vulnérabilité Windows SmartScreen avait déjà été exploitée par les acteurs APT afin d'attaquer les institutions financières en diffusant le malware
logiciel malveillant DarkMe. Microsoft a demandé aux utilisateurs d'appliquer le correctif au plus tôt afin de se protéger contre la campagne de phishing de Water Hydra.


Conclusion 


La campagne de logiciels malveillants DarkGate
qui exploite une faille Microsoft corrigée, a tiré la sonnette d'alarme pour les experts en cybersécurité. Elle montre que les acteurs de la menace peuvent utiliser les risques de cybersécurité liés aux technologies Google Ads pour élargir l'ampleur de leurs campagnes de phishing. Elle souligne également l'importance de corriger ces correctifs défectueux dès que possible pour assurer la protection de protection et de récupération contre les cybermenaces.

Les sources de cet article comprennent des articles dans The Hacker News et TechRadar Pro.

 

Résumé
La campagne de logiciels malveillants DarkGate exploite une faille Microsoft corrigée
Nom de l'article
La campagne de logiciels malveillants DarkGate exploite une faille Microsoft corrigée
Description
Des pirates informatiques ont exploité une faille Microsoft corrigée pour infecter des appareils avec le logiciel malveillant DarkGate. Pour en savoir plus sur cette campagne de phishing, cliquez ici !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information