La campagne de logiciels malveillants DarkGate exploite une faille Microsoft corrigée
L'initiative "Zero Day" (ZDI) de Trend Micro a mis au jour une campagne d'hameçonnage exploitant une faille Microsoft corrigée pour infecter des appareils avec le logiciel malveillant logiciel malveillant DarkGate. CVE-2024-21412 est le correctif de Microsoft qui a été exploité à l'aide de faux installateurs de logiciels. Des PDF contenant des redirections ouvertes Google DoubleClick Digital Marketing (DDM) ont été utilisés pour inciter les utilisateurs à télécharger les fichiers malveillants Microsoft ".MSI" de Microsoft.
Des URL de redirection ouvertes provenant des technologies publicitaires de Google ont été utilisées dans cette campagne d'hameçonnage pour la distribution de fichiers Microsoft ".MSI". ".MSI" de Microsoft. Un fichier DLL présent dans ces faux installateurs de logiciels Microsoft a été utilisé pour infecter des appareils avec le logiciel malveillant logiciel malveillant DarkGate. Un acteur de la menace persistante avancée (APT), Water Hydraest soupçonné d'être à l'origine du logiciel malveillant malware DarkGate DarkGate.
Dans cet article, nous allons procéder à une analyse détaillée des logiciels malveillants du DarkGate et nous verrons quelles mesures ont été prises pour atténuer l'infection par DarkGate. C'est parti !
La chaîne d'infection du logiciel malveillant DarkGate
Le logiciel malveillant malware DarkGate est une campagne menée par des acteurs de la menace en plusieurs étapes. Il est essentiel de savoir ce qui se passe à chacune de ces étapes pour se prémunir contre de telles menaces. Examinons chacune d'entre elles en détail.
Open Redirect : Google DDM
Les attaques de phishing avec DarkGate ont été lancées en déployant une redirection ouverte à partir de la page d'accueil de doubleclick.net à l'aide d'un fichier PDF. Le fichier "adurl redirigeait les victimes peu méfiantes vers un serveur compromis. L'exploitation de CVE-2024-21412 ne pouvait pas être lancée sans que la victime ne sélectionne l'option "Télécharger" dans le PDF.
CVE-2024-21412 Exploitation
Après avoir été redirigées vers un serveur web compromis, les victimes voient le premier fichier .URL. La CVE-2014-21412 est exploitée lorsque le premier fichier de raccourci Internet .URL redirige vers un autre fichier .URL. Le fichier "URL=" est utilisé par le fichier de raccourci Internet pour diriger la victime vers l'étape suivante de l'infection par le logiciel malveillant de l'infection par le logiciel malveillant DarkGate. Un serveur WebDAV contrôlé par l'attaquant est maintenant l'hôte. Les victimes sont alors dirigées vers un fichier ".MSI file"qui contient une archive zip.
DarkGate Malware Installer
À ce stade, un fichier DLL est chargé de manière latérale à l'aide d'un fichier .MSI. Quant à la charge utile DarkGate, elle est décryptée et employée par un script Autolt. Le malware DarkGate est déguisé en logiciels légitimes tels que Notion, Apple iTunes, NVIDIAet d'autres logiciels de ce type.
La victime pense qu'elle installe un logiciel normal sur son appareil, mais en fait, elle est la proie du campagne de logiciels malveillants DarkGate de DarkGate. DarkGate utilise une technique de chargement latéral de DLL, qui permet de charger un fichier DLL malveillant.
Fixation des correctifs par Microsoft
Bien que Microsoft ait corrigé cette faille de type "zero-day" dans ses mises à jour du Patch Tuesday de février 2024, la vulnérabilité Windows SmartScreen avait déjà été exploitée par les acteurs APT afin d'attaquer les institutions financières en diffusant le malware logiciel malveillant DarkMe. Microsoft a demandé aux utilisateurs d'appliquer le correctif au plus tôt afin de se protéger contre la campagne de phishing de Water Hydra.
Conclusion
La campagne de logiciels malveillants DarkGate qui exploite une faille Microsoft corrigée, a tiré la sonnette d'alarme pour les experts en cybersécurité. Elle montre que les acteurs de la menace peuvent utiliser les risques de cybersécurité liés aux technologies Google Ads pour élargir l'ampleur de leurs campagnes de phishing. Elle souligne également l'importance de corriger ces correctifs défectueux dès que possible pour assurer la protection de protection et de récupération contre les cybermenaces.
Les sources de cet article comprennent des articles dans The Hacker News et TechRadar Pro.