В новой волне атак операторов вредоносной программ DarkGate фигурирует уязвимость в Windows Defender SmartScreen, с помощью которой
злоумышленники обходят защитные функции ОС и устанавливают фейковый софт.
Речь идёт о бреши под идентификатором CVE-2024-21412, которую Microsoft устранила с выходом февральского набора патчей. До этого она
получила статус 0-day, именно её эксплуатировал троян DarkMe.
SmartScreen — защитный механизм в Windows, предупреждающий пользователя при попытках открыть подозрительный файл, скачанный из Сети.
CVE-2024-21412 помогает использовать специально подготовленные файлы для обхода алертов.
Для эксплуатации используются интернет-ярлыки (.url-файлы), указывающие на другие ярлыки, которые хранятся на удалённой SMB-шаре. Такой
метод приводит к тому, что конечный файл запустится автоматически в целевой системе.
Как сообщают специалисты Trend Micro, DarkGate тоже взял на вооружение эксплойт для CVE-2024-21412. Операторы трояна начинают атаку с
вредоносного письма с PDF-вложением. Для обхода защитных механизмов используется открытый редирект с помощью Google DoubleClick Digital
Marketing (DDM).
Когда жертва нажимает на ссылку, её перенаправляют на скомпрометированный сервер, где хранится файл-ярлык. Последний ссылается на другой
аналогичный файл на подконтрольном злоумышленникам WebDAV-сервере.
Открытие второго ярлыка через Windows Shortcut позволяет использовать CVE-2024-21412 для автоматического запуска вредоносного MSI-файла.
Такие файлы маскируются под софт от NVIDIA, Notion и под Apple iTunes.
Далее эксплуатируется брешь сторонней загрузки DLL. Подгружаются libcef.dll и sqlite3.dll для расшифровки и запуска пейлоада DarkGate.
14 марта
Материал взят с сайта:
anti-malware.ru
|